Vecteur dans l'attaque informatique dont a été victime Google en Chine et d'autres entreprises, Internet Explorer est à son tour victime... d'une mauvaise presse. Il faut dire que la France et l'Allemagne conseillent aux utilisateurs de se tourner vers un navigateur alternatif dans l'attente d'un correctif, afin de combler la faille 0-day qui affecte les versions 6, 7 et 8 d'IE.
Depuis, c'est un peu la communication de crise chez Microsoft qui tente de minimiser l'affaire, rappelant que pour l'heure seules des attaques très limitées et exploitant uniquement la faille dans IE6 ont été observées ( navigateur présent par défaut dans Windows XP ). Le bon conseil de Microsoft est alors de migrer vers la version 8 d'Internet Explorer pour l'heure épargnée par les attaques ( la protection Data Execution Prevention est activée par défaut ).
Les utilisateurs pourraient également envisager de passer à la version 7, puisque selon Microsoft, la faille n'est pas exploitée avec cette mouture. Sauf que cela ne sera peut-être pas encore très longtemps le cas. Des chercheurs en sécurité informatique affirment en effet être parvenus à une telle exploitation qui s'avère plus complexe. Le code exploit ne devrait pas tarder à gagner la Toile.
Mais tout navigateur Web peut être sujet à une vulnérabilité 0-day, et il est difficile d'incriminer Microsoft pour cela. La meilleure réponse que peut apporter Microsoft est assurément la production rapide d'un correctif de sécurité et c'est ce qu'il est désormais décidé à faire. Le chronomètre est donc enclenché car Microsoft fera bel et bien exception à son Patch Tuesday ( tous les deuxièmes mardis de chaque mois ) afin de mettre en ligne un correctif en urgence.
Concernant la recommandation du CERTA ( Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques ) au sujet de l'utilisation d'un navigateur alternatif à Internet Explorer en attendant le correctif, le Directeur Technique & Sécurité de Microsoft France la considère comme " inutilement effrayante ".
Nous avions du reste souligné que ce genre de recommandation n'était pas une première pour le CERTA, et que par le passé il avait déjà conseillé pour cause de faille 0-day de se tourner temporairement vers un navigateur alternatif à Firefox et autres.
Interrogé par l'AFP, un porte-parole de Kaspersky a indiqué que le CERTA " émet régulièrement ce type d'alerte pour différents logiciels, que ce soit Internet Explorer, Firefox, Opera, Safari... Cette faille est mise en exergue par l'attaque contre Google, mais le risque n'est pas plus important que d'habitude ". Plusieurs experts partagent cette analyse.
Cette histoire pourrait servir d'alibi pour relancer la guerre de la concurrence entre les différents navigateurs Web. Hormis la rapidité de réaction de Microsoft à corriger, cela ne paraît toutefois pas forcément le meilleur angle d'attaque comme peut par contre l'être le respect des standards du Web, la vitesse d'exécution JavaScript notamment, voire l'expérience utilisateur.