IE 10 internet explorer IE10 logo gb sq
Seul Internet Explorer 10 est à l'abri de cette faille, qui permet l'exécution de code à distance. Microsoft explique sur son site dédié à la sécurité que des « attaques ciblées tentent d'exploiter cette vulnérabilité. »
« La faille pourrait corrompre la mémoire d'une manière qui pourrait permettre à un attaquant d'exécuter du code arbitraire via Internet Explorer. Un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité d'IE, puis inciter l'utilisateur à consulter le site Web. » explique la firme.
Microsoft devrait corriger cette faille par le biais d'un prochain patch Tuesday, peut-être celui du mois d'octobre. En attendant, l'entreprise conseille l'installation du logiciel Enhanced Mitigation Experience Toolkit (EMET) qui vise à atténuer le risque d'exploit des failles nouvellement découvertes. Néanmoins, selon des experts en sécurité interrogés par Reuters, ce palliatif pourrait ne pas être suffisant. « Pour les consommateurs, il pourrait être plus simple d'utiliser Chrome », a notamment déclaré Dave Marcus, un expert de chez McAfee, tandis que Marc Maiffret de chez BeyondTrust a souligné qu'EMET pouvait parfois occasionner des conflits avec d'autres logiciels parfois déployés sur les réseaux d'entreprise. Il n'y a plus qu'à espérer que Microsoft réagisse rapidement en proposant un correctif concret.
L'Allemagne déconseille Internet Explorer. Pas la France
L'appréciation de la gravité de la faille zero day récemment découverte dans Internet Explorer n'est pas la même des deux côtés du Rhin.
En Allemagne, le bureau en charge de la sécurité des technologies de l'information a invité les internautes allemands à changer de navigateur.
En France, le CERTA temporise et invite plutôt les utilisateurs français à miser sur la trousse à outils EMET proposée par Microsoft.
C'est une solution très radicale, mais qui peut se comprendre vu la gravité de la faille découverte récemment dans Internet Explorer.
En Allemagne, l'Office fédéral de la sécurité des technologies de l'information a émis un bulletin d'alerte déconseillant l'utilisation du navigateur web de Microsoft.
À la place, les internautes doivent utiliser une solution alternative le temps que l'entreprise américaine corrige la vulnérabilité.
L'alerte du BSI est arrivée dans la foulée de la mise en garde de Microsoft.
Le géant des logiciels a indiqué lundi que toutes les versions d'Internet Explorer depuis la 6 et à l'exception de la 10 sont touchées par cette brèche zero day et qu'aucun correctif n'est pour l'heure disponible.
Microsoft suggère en attendant l'utilisation d'EMET, mais cette trousse à outils ne serait pas vraiment efficace.
En France, le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) n'a pas jugé la situation suffisamment critique pour appeler les internautes à utiliser un autre navigateur web.
Dans son bulletin d'alerte, l'organisme recommande pour le moment "d'appliquer l'outil de sécurité EMET sur le navigateur afin de limiter les risques d'exploitation".
Selon le CERTA, la faille "permet une exécution de code arbitraire à distance au moyen d'une page Web spécialement conçue.
Cette vulnérabilité est activement exploitée et largement diffusée".
Rien de surprenant, au regard de la portée de la découverte : tous les systèmes d'exploitation, depuis Windows XP SP3, intégrant Internet Explorer 6, 7, 8 ou 9 sont concernés.
Ce n'est pas la première fois que le BSI recommande aux internautes allemands de changer de navigateur. En 2010, lors de la découverte d'une autre vulnérabilité dans Internet Explorer, le bureau avait émis la même suggestion. Et à l'époque, le CERTA était sur la même longueur d'onde puisque le centre d'expertise français invitait les utilisateurs français à passer à Firefox, Chrome, Opera ou Safari.
Dans son avis de sécurité, Microsoft indique qu'une solution définitive devrait être proposée très prochainement aux utilisateurs d'Internet Explorer.
Si aucune date n'est fixée par le géant des logiciels, celui-ci espère pouvoir déployer son patch lors de la prochaine vague de correctifs via Windows Update.
Mais celui-ci pourrait survenir plus rapidement, si jamais la situation évolue.
Microsoft prévoit une mise à jour sécurité vendredi
Après le colmatage, voici venu le temps de la mise à jour.
Suite à une faille de sécurité affectant Internet Explorer dans ses versions allant de 6 à 9 et déjà exploitée pour des attaques, Microsoft avait mis en ligne un Fix it, rustine temporaire, pour protéger les internautes.
Mais il ne s'agissait pas d'une solution permanente. Le géant américain lance donc ce vendredi une mise à jour de sécurité via Windows Update et les autres canaux habituels.
Le géant américain explique par ailleurs que ce correctif n'adressera pas seulement la faille de sécurité colmatée par le Fix it mais couvrira également d'autres problèmes.
Microsoft, qui n'attend donc pas le Patch Tuesday d'octobre pour régler ses problèmes, proposera la mise à jour MS12-063 en début de soirée, vers 19h en France.
Pour rappel, Microsoft avait confirmé au début de la semaine une faille 0-day pour Internet Explorer, ainsi que des attaques d'utilisateurs du navigateur.
C'est le chercheur Eric Romang qui a découvert la faille suite à l'infection de son ordinateur par le cheval de Troie Poison Ivy.
Le logiciel malveillant, installé par une page Web, permettait notamment de voler des données mais aussi de prendre contrôle de l'ordinateur.
