La récente publication en urgence d'une mise à jour de sécurité a été l'occasion pour Microsoft de combler plusieurs vulnérabilités de sécurité affectant Internet Explorer, dont une très médiatisée qui a servi de vecteur d'attaque dans l'affaire Google en Chine. Loi des séries ou pas, le navigateur Web le plus utilisé au monde souffre d'une nouvelle vulnérabilité.

Microsoft a publié un avis de sécurité à ce sujet, évoquant une vulnérabilité révélée publiquement dont l'exploitation peut permettre une divulgation d'informations pour des fichiers au nom et à l'emplacement connus. Cette exploitation passe par la consultation d'un site Web piégé. Microsoft n'a toutefois pas connaissance pour le moment d'une quelconque attaque.

Les versions 6,7 et 8 d'Internet Explorer sont affectées par cette vulnérabilité. L'alerte ne vaut cependant surtout que pour Internet Explorer sur Windows XP. Cela tient au fait qu'avec Windows Vista ou Windows 7, le mode protégé d'Internet Explorer est activé par défaut ( Options Internet et onglet Sécurité d'Internet Explorer ). Si bien sûr l'utilisateur a eu la mauvaise idée de désactiver ce mode...

En attendant la publication d'un correctif de sécurité, une mesure de contournement est donc toute trouvée. Un Fix It permet d'ailleurs d'activer le mode protégé pour ceux qui utilisent Internet Explorer 6. On notera une nouvelle fois le bon conseil de Microsoft qui encourage les utilisateurs à une mise à niveau vers Internet Explorer 8 afin de bénéficier de tous ses apports en matière de protections de sécurité.

Sur les statistiques Net Applications, Internet Explorer 8 est récemment devenu le navigateur Web le plus utilisé au monde, devançant la version 6 d'IE ( pré-installée dans Windows XP ), ce que n'aura jamais réussi à faire IE7 présent par défaut dans Windows Vista.


Le comptage des vulnérabilités ?
Dans le cadre d'un entretien accordé à 01net, Bernard Ourghanlian, Directeur Technique & Sécurité de Microsoft France, admet que la sécurité est " l'école de l'humilité ". Sous-entendu que les failles de sécurité sont presqu'une fatalité. Reste tout de même à adopter la meilleure politique quant il s'agit de corriger, et Mozilla tacle souvent Microsoft à ce niveau, en soulignant qu'au-delà du simple comptage de vulnérabilités, la réactivité à corriger est le but à atteindre.

Bernard Ourghanlian ne semble pas partager le même point de vue, puisqu'il met en avant une étude de la société Cenzic selon laquelle sur les deux premiers trimestres de 2009, c'est pour Firefox que le plus grand nombre de vulnérabilités a été découvert, soit 44 % des failles des navigateurs contre 15 % pour Internet Explorer  ( 35 % pour Safari et 6 % pour Opera ).

Quant à Google Chrome qui n'est pas cité dans ces statistiques, Bernard Ourghanlian reconnaît son avance en matière de méthodologie de sécurité, mais note que Google est tout de même prêt à payer pour la découverte par un tiers d'une vulnérabilité.