Après Heartbleed, la faille qui a fait souffler un vent de panique sur le Web il y a quelques jours, une autre faiblesse de sécurité menace les internautes du monde entier. Plus problématique, elle concerne Internet Explorer, le navigateur de Microsoft, qui fait figure de dinosaure auprès des plus « geeks » des internautes mais reste très utilisé.
Qui utilise encore Internet Explorer ?
Beaucoup de monde. L'Europe, avec sa domination de Mozilla et de Chrome, est finalement un cas à part. Dans le reste du monde, Microsoft continue à régner en maître. Selon des chiffres publiés en début d'année par NetMarket Share, le navigateur historique de la firme de Seattle domine encore le paysage du Net avec 58 % de parts de marché, loin devant Firefox de Mozilla (18,35 %) et Chrome de Google (16,22 %).
Toujours selon NetMarket Share, environ un quart des internautes dans le monde utilisent une version d'Internet Explorer exposée à la faille.
Qui est concerné par la faille ?
Une agence fédérale de sécurité informatique a affirme avoir connaissance d'une « exploitation active » de la faille de sécurité dans Internet Explorer. En clair, cela signifie que des données ont pu être piratées et des ordinateurs contrôlés à distance par le biais de cette faille.
Plus inquiétant, les utilisateurs du système d'exploitation Windows XP, dont les mises à jour ont été définitivement arrêtées début avril par Microsoft, ne recevront pas de correctif de sécurité pour ce type de problème.
« Mais l'exploitation de la faille cible principalement les versions 9 à 11 d'Internet Explorer, explique Paul-Henri Huckel, responsable veille et réponse à incident chez Lexsi, qui ne sont disponibles qu'à partir de Vista, ce qui minore un peu son impact ».
En attendant le correctif, quelles sont les solutions pour se protéger ?
Microsoft a indiqué qu'elle prévoyait de fournir un « patch » correctif dans une mise à jour du navigateur qui devrait être disponible dans les prochaines semaines. En revanche, ce correctif ne s'appliquera qu'à Windows Vista et au-delà: les « retardataires » devront se mettre à la page.
En attendant, la parade est simple, il suffit d'utiliser un autre navigateur ou de se munir d'un outil de sécurité de Microsoft déjà disponible gratuitement, nommé Enhanced Mitigation Experience Toolkit, « un outil efficace selon les tests qui ont été menés », explique M. Huckel, mais qui a la réputation de rendre toute navigation sur Internet particulièrement pénible.
Comment cette faille rend-elle les ordinateurs vulnérables aux hackers ?
La société FireEye, spécialisée dans la sécurité informatique, a revendiqué la découverte de la vulnérabilité et souligné samedi, dans un post de blog, que cette faille était du type «zero day », c'est-à-dire qu'elle n'est comparable à aucune autre déjà vue sur le Web, ce qui pourrait rendre plus complexe la mise au point d'un correctif, même si la technique utilisée est déjà connue des spécialistes.
Concrètement, a expliqué Microsoft, la vulnérabilité concerne « la façon dont Internet Explorer accède à un objet dans une mémoire qui a été supprimée ou qui n'a pas été correctement allouée » : l'internaute se laisse piéger en visitant simplement un site Internet malveillant, sans avoir besoin de télécharger un fichier infecté.
Cliquer sur le mauvais lien suffit à créer un canal entre la mémoire de l'ordinateur et le site malveillant. Une fois les pirates infiltrés, ils peuvent accéder librement à tous les fichiers et espionner l'activité du terminal. Et si l'ordinateur est connecté à un réseau d'entreprise, les hackers peuvent aussi y avoir accès. « La propagation via des réseaux est le principal danger », insiste M. Huckel.
Au delà d'Internet Explorer, quelles activités peuvent-elles être touchées ?
Windows XP n'est pas seulement utilisé dans les foyers, il est aussi omniprésent à l'extérieur : dans les distributeurs automatiques de billets ou encore certains terminaux de paiement. Les messageries Outlook et Windows Mail pourraient être touchées. Un porte-parole de FireEye a précisé que les cibles étaient des entreprises sises aux Etats-Unis, liées aux secteurs de la défense et de la finance.
Voir les contributions
Réutiliser ce contenu