Première publication le 23 août 2006
destinée à corriger plusieurs vulnérabilités du navigateur Internet Explorer, s’est distinguée de la plus paradoxale des façons.En effet, quelques jours après sa parution, des chercheurs de la société américaine eEye Digital ont constaté que ce ‘ patch cumulatif ‘ créait, sur le poste où il s’installait, une faille de sécurité pour les
utilisateurs d’Internet Explorer 6.0 Service Pack 1, sur les systèmes d’exploitation Windows XP SP1 et Windows 2000 SP4.Nouvel élément fâcheux pour Microsoft,
qui a admis le problème : la sortie du ‘ patch du patch ‘, pourtant attendue hier, mardi 22 août,
a été reportée sine die.
‘ Nous avons rencontré des soucis avec ce correctif et nous avons voulu éviter d’ajouter un problème à un autre
problème ‘, détaille Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.Dans les faits, la rustine MS06-42 fait ‘ planter ‘ brutalement le navigateur sur certains sites et permet, en théorie, grâce à la technique dite du ‘ débordement de mémoire ‘
(buffer overrun), à une personne distante d’exécuter du code malveillant sur l’ordinateur. Ce, en amenant son propriétaire sur un site Web doté d’une adresse très longue, utilisant ‘ la compression et le
protocole HTTP 1.1 ‘.En France, le Cert-IST, association qui prodigue aux entreprises des services de prévention en matière d’incidents informatiques, a qualifié cette faille de ‘ moyenne ‘. ‘ Nous nous
sommes contentés de publier un avis et non de mettre en place une procédure d’alerte, indique Anne-Laure Bouillot, ingénieur sécurité. Notre activité de surveillance n’a pas relevé d’exploitation de cette
faille. ‘ Pour Bernard Ourghanlian également, le danger est minime : ‘ Il n’y a pas de risque de propagation d’un virus. Il faut qu’un utilisateur soit incité à aller sur un site spécifique. Nous
n’avons pas de cas grave à signaler. ‘
‘ Pas de logiciel parfait ‘
En attendant la sortie du correctif pour la MS06-42, Microsoft demande aux utilisateurs d’Internet Explorer d’installer quand même cette mise à jour, mais de désactiver la fonction HTTP 1.1 dans le navigateur.
‘ Certaines applications qui recourent à ce protocole ne fonctionneront pas ‘, prévient Bernard Ourghanlian.Reste une question : comment est-il possible qu’une mise à jour de sécurité, qu’on imagine objet de toutes les vérifications, puisse aboutir à cette situation ubuesque ?‘ Il n’est pas possible d’écrire un logiciel parfait, défend Bernard Ourghanlian. Il faudrait étudier tous les scénarios d’attaques possibles et imaginables pour cela. Internet Explorer est
écrit en 24 langues, fonctionne sur de nombreuses plates-formes. Et parfois, alors qu’on aimerait procéder à une batterie de tests ?” comme ceux dits de non-régression, qui durent en principe 5 à 6 semaines ?”, la
publication d’une faille par des experts nous oblige à accélérer la publication d’un correctif. Notre position n’est pas toujours évidente, entre la sécurité des utilisateurs et la volonté de publier un patch qui ait passé un maximum de
vérifications. ‘
Pour l’éditeur, qui fait de la sécurité une priorité, l’épisode n’est vraiment pas le bienvenu.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
