[ad_1]

Je venais de terminer l’ouverture d’un compte à la banque locale à la fin de la semaine dernière lorsque j’ai aperçu par hasard l’écran d’ordinateur du directeur de la banque : il avait environ 20 fenêtres de navigateur Web ouvertes, et il était difficile d’ignorer le fait qu’il utilisait Internet Explorer 6 pour surfer sur le Web.

Pendant plus d’une seconde, j’ai fait une pause et j’ai envisagé de demander le remboursement de mon acompte.

« Ouah, » dis-je. « Utilisez-vous vraiment encore IE6 ? »

« Ouais, » le gars sourit timidement, secouant la tête. « Nous sommes censés avoir de nouveaux ordinateurs bientôt, mais je ne sais pas, ça fait longtemps. »

« Wow. C’est fou, dis-je. « Vous avez entendu parler de cette dernière attaque contre IE, n’est-ce pas ? »

J’aurais aussi bien pu lui poser des questions sur la vitesse anémométrique d’une hirondelle africaine. Mec a juste secoué la tête, et moi aussi.

Eh bien, vous ne pouvez pas vraiment blâmer le pauvre gars de ne pas savoir. Quelques heures avant, Steve Ballmer, PDG de Microsoft ressemblait un peu à un cerf dans les phares quand, debout devant la Maison Blanche dans un projet Entretien CNBC sur la façon dont l’administration Obama cherche à utiliser la technologie pour rationaliser ses opérations, il a été soudainement interrogé sur un rapport qui vient de sortir de McAfee blâmant effectivement une série de cyber-effractions récentes chez Google, Adobe et plus de 30 autres grandes entreprises de la Silicon Valley sur une faille jusque-là inconnue dans IE.

« Les cyberattaques et les vulnérabilités occasionnelles sont un mode de vie », a déclaré Ballmer. « Si le problème est avec nous, nous allons le résoudre avec toutes les parties importantes. Nous avons toute une équipe de personnes qui répond en temps réel à tout rapport indiquant que cela pourrait avoir quelque chose à voir avec notre logiciel, ce que nous ne savons pas encore.

Microsoft a bien sûr reconnu depuis qu’une faille de sécurité critique et non corrigée existe bel et bien et est exploitée dans des attaques ciblées. Le géant du logiciel dit qu’il n’a observé que le code d’exploitation désormais public fonctionnant contre IE6, et que les utilisateurs d’IE devraient passer à la dernière version IE8, qui, selon Microsoft, est beaucoup mieux isolée du lot actuel d’exploits.

Redmond publie généralement des mises à jour logicielles le deuxième mardi de chaque mois (alias « Patch Tuesday »), mais la société a déclaré que dans ce cas, les clients n’auraient peut-être pas à attendre le 9 février pour un correctif pour cette faille de sécurité. Microsoft tient à assurer à tous que les attaques observées jusqu’à présent ne réussissent que contre IE6, et qu’en tout état de cause elles n’ont pas été généralisées.

Pendant ce temps, les chercheurs continuent de tester cette affirmation. Chercheur Dino Dai Zovi A tweeté lundi qu’il avait modifié l’exploit existant pour qu’il fonctionne sur IE7, avec la mise en garde que sur les systèmes Microsoft Vista, il n’autoriserait qu’un accès en lecture aux fichiers de la victime (par opposition aux privilèges complets pour supprimer ou modifier les fichiers système).

Dans un signe que nous pourrions très bientôt commencer à voir un certain nombre de sites Web piratés et malveillants exploiter cette faille pour installer des logiciels indésirables, la société de sécurité Websense averti qu’il avait repéré un site Web qui exploitait la vulnérabilité IE.

Les assurances de Microsoft n’ont pas suffi à certains. Les gouvernements français et allemand ont exhorté les gens à cesser d’utiliser Internet Explorer (Mise à jour, 13h16 : Le gouvernement australien vient d’émettre un avertissement similaire). De son côté, le gouvernement américain devrait émettre une démarche au gouvernement chinois, à la recherche d’une explication des attaques contre Google et d’autres, que les experts ont décrites comme des tentatives sophistiquées et ciblées de voler des secrets de l’industrie commerciale, ainsi que des informations sur des groupes dissidents chinois.

Au moins une grande entreprise chinoise de sécurité informatique exhorte les consommateurs là-bas à ne pas attendre le correctif de Microsoft, mais plutôt à installer un correctif non officiel (grossier, traduction Google). Nul doute que si l’attente se prolonge pour une mise à jour de Microsoft, nous verrons les mêmes offres de sociétés et d’experts de la sécurité américains.

Il existe bien sûr des alternatives à IE. Mais encore une fois, je prêche à la chorale. La plupart de mes lecteurs utilisent déjà un autre navigateur, selon les dernières statistiques de visiteurs pour breachtrace.com, compliments de Google Analytics. Voici comment mes visiteurs se répartissent :

On dirait que breachtrace.com a des utilisateurs IE6 (et au moins un utilisateur IE5!). Près de 14 % des visiteurs naviguant sur ce site avec IE utilisent IE6 : voici la répartition des visiteurs par version d’IE :

Si vous voulez continuer à naviguer avec IE (ou travailler dans une organisation comme ma banque qui n’a apparemment pas beaucoup de choix en la matière), Microsoft a quelques conseils ici sur les moyens de tirer parti des protections supplémentaires à la fois dans Windows et dans les nouvelles versions d’IE.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.