Faille : la France et l'Allemagne déconseillent Internet Explorer (MàJ)

Navigation au brouillard 206
Marc Rees
Mise à jour 20/01/10
Microsoft France a réagi hier contre ceux qui conseillent l’usage d’un navigateur alternatif pour éviter l’exploitation de la brèche d’IE, du moins sous certaines configurations : « Dans l'état actuel des choses, cette recommandation est inutilement effrayante ». Voilà qui devrait faire moins peur : l’Australie, à son tour, s’est jointe à la France et l’Allemagne. Toutefois, la démarche est nettement plus prudente : elle recommande un navigateur alternatif uniquement à ceux qui ne veulent pas tenter de suivre les recommandations de Microsoft (mise à jour IE, activation du DEP, etc.), en attendant un patch officiel.

Première diffusion 18 janvier 
:
Après Microsoft et les éditeurs de solutions de sécurité, le CERTa (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) vient de publier un bulletin explicatif sur la faille Zero Day qui frappe Internet Explorer. « [La] vulnérabilité due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance », note-t-il à son tour, avant de souligner que « des exploitations limitées de cette vulnérabilité ont déjà été constatées ». Ces exploitations, selon McAfee, ont déjà frappé Google Chine et d’autres entreprises.

google chine cn internet explorer

Même son de cloche outre-Rhin : le gouvernement allemand, via l'Office fédéral allemand pour la sécurité de l'information (BSI) « recommande l’utilisation temporaire d’un navigateur alternatif ». Et s’il n’y a pas eu d’attaque de large ampleur sur le web, le BSI craint cependant cette prochaine étape. L’exécution d'Internet Explorer en "mode protégé" et la désactivation de « l’active scripting » rendent plus difficile l’attaque, sans qu’elle soit impossible, indique ce bureau allemand, lui aussi rattaché au réseau des CERT (Computer Emergency Response Team).

Microsoft a une vision nettement plus tranchée, si l’on en croit ce tableau, qui décrit les risques par plate-forme.

plate-forme risque faille internet explorer

De même, Thomas Baumgaertner, porte-parole de Microsoft Allemagne a minimisé l’envergure du problème : il affirme d’une part qu’il n’y a pas d’attaque globale contre les utilisateurs ou les consommateurs, et que celles déjà constatées avaient été « hautement motivées par des gens ayant un objectif spécifique ».

On constatera que l’US CERT, lui, ne recommande pas de logiciel de navigation alternatif.

Sur le blog du Microsoft Security Response Center (MSRC), par la voix de Mike Reavey, l’éditeur reconnaît cependant qu’« Internet Explorer a [bien] été l’un des vecteurs utilisés pour l’attaque ciblée et sophistiquée contre Google et, vraisemblablement, contre d’autres réseaux d’entreprises ». Redmond travaille à un patch qui pourrait être distribué en dehors du cycle des mises à jour, et dont le prochain rendez-vous est fixé mi-février.

Yahoo, Symantec, Adobe, Northrop Grumman et Dow Chemical ont été aussi victimes de cette attaque informatique.