La version mobile d’Internet Explorer fait actuellement face à quatre failles 0-day. Un chiffre important et d’autant plus grave que Microsoft était au courant de ces brèches de sécurité depuis plusieurs mois. Explications.
Windows et Windows Phone partagent de nombreux points communs, y compris un certain nombre de composants. Dans Windows Phone 8.1 particulièrement, Microsoft a largement insisté sur le fait que la version intégrée d’Internet Explorer reprenait par exemple le même moteur que la version 11 présente sur Windows 7 et 8.1 (Windows 8 était fourni avec Internet Explorer 10 et ne pouvait à la version 11 qu’avec la mise à jour 8.1).
Les 120 jours de la ZDI largement dépassés
Problème : les failles touchant la version classique peuvent très bien affecter la variante mobile. C’est précisément ce qui s’est passé avec quatre brèches de sécurité signalée par la Zero Day Initiative de HP le 12 novembre de l’année dernière. Ceux qui connaissent la ZDI savent qu’une politique de 120 jours est appliquée : c’est le délai fourni à l’éditeur pour corriger les problèmes signalés, après quoi les détails des failles sont révélés. L’éditeur peut cependant réclamer un délai en cas de retard, mais l’acceptation dépend des cas.
Environ trois mois et demi après le signalement, et sans nouvelle de la part de Microsoft, l’équipe de la ZDI a demandé à l’éditeur s’il avait besoin d’un peu plus de temps. Réponse affirmative du côté de Microsoft, qui requiert alors un prolongement jusqu’au 19 juillet. Trop long pour la ZDI, qui octroie dans un premier temps une date butoir fixée au 12 mai. Le 29 avril, l’équipe demande une nouvelle fois à Microsoft comment avance le travail sur les correctifs. Mais l’éditeur n’est pas prêt, et la ZDI accorde finalement la date réclamée initialement : le 19 juillet.
Quatre failles, dont une suffisamment documentée pour représenter un vrai danger
À partir de là, Microsoft était averti que les détails des failles seraient publiés le 20 juillet dans tous les cas. Or, entre temps, des patchs de sécurité ont bien été fournis à Internet Explorer, mais uniquement pour les versions sur PC. Traduction : les failles restent ouvertes sur Windows Phone, et les patchs n’ont pas été distribués. Les quatre bulletins publiés par ZDI, estampillés ZDI-15-359, ZDI-15-360, ZDI-15-361 et ZDI-15-362 font donc tous référence à Internet Explorer Mobile.
Selon l’échelle CVSS (Common Vulnerability Scoring System), la faille la plus grave est la première, avec un score de 7,5 sur 10. Elle est relative à la manière dont le navigateur gère les tableaux dans les tables HTML. Dans certaines circonstances, et via un site web spécialement conçu, un pirate pourrait amener le navigateur à exécuter un code arbitraire. Le seul facteur limitant l’attaque est que le pirate doit obtenir de l’utilisateur qu’il accomplisse une action, comme cliquer sur un lien.
Cette faille est d’autant plus sérieuse qu’elle a initialement été révélée par le chercheur en sécurité Nicolas Joly lors du dernier concours Mobile Pwn2Own, organisée par la ZDI justement. En vertu des règles du concours, les détails en avaient été partagés avec cette dernière, ainsi qu’avec Microsoft. Selon Carsten Eiram, directeur de la recherche chez Risk Based Security, interrogé par Network World, la faille ZDI-15-359 est la seule des quatre à être entourée de suffisamment d’informations pour que les pirates aient « un bon point de départ ».
Le problème des mises à jour sur Windows Phone
La seule solution pour l’instant côté utilisateur est de désactiver complètement l’Active Scripting, ou au moins de configurer Internet Explorer Mobile pour qu’une autorisation soit systématiquement demandée avant d’exécuter ce type d’action.
Notez que la correction des failles dans Internet Explorer Mobile prendra nécessairement plus de temps à atteindre les utilisateurs que dans le cas des Windows classiques. Windows Update peut fournir rapidement les correctifs pour les systèmes PC, Microsoft n’hésitant d’ailleurs pas à briser son cycle mensuel quand cela est nécessaire. Dans le cas de Windows Phone, la mise à jour doit être malheureusement envoyée à travers les filtres successifs des constructeurs et des opérateurs, les contrôles allongeant nettement le processus de diffusion.
Notez que cette situation devrait s'améliorer avec Windows 10 Mobile, puisque le système sera équipé du même Windows Update que son équivalent sur PC. Reste à savoir s'il fonctionnera à la même vitesse, Microsoft ayant clairement sous-entendu que les opérateurs auraient moins leur mot à dire.
