Première publication le 23 août 2006

Une rustine de sécurité de Microsoft rend Explorer vulnérable

Début août, l'éditeur a publié une mise à jour de sécurité, qui, une fois installée, permet une éventuelle prise de contrôle à distance de l'ordinateur. Le « correctif du correctif » est toujours attendu.

C'est ce que l'on pourrait communément appeler une tuile. Parmi les douze mises à jour de sécurité publiée début août par Microsoft, la « MS06-42 », destinée à corriger plusieurs vulnérabilités du navigateur Internet Explorer, s'est distinguée de la plus paradoxale des façons.

En effet, quelques jours après sa parution, des chercheurs de la société américaine eEye Digital ont constaté que ce « patch cumulatif » créait, sur le poste où il s'installait, une faille de sécurité pour les utilisateurs d'Internet Explorer 6.0 Service Pack 1, sur les systèmes d'exploitation Windows XP SP1 et Windows 2000 SP4.

Nouvel élément fâcheux pour Microsoft, qui a admis le problème : la sortie du « patch du patch », pourtant attendue hier, mardi 22 août, a été reportée sine die. « Nous avons rencontré des soucis avec ce correctif et nous avons voulu éviter d'ajouter un problème à un autre problème », détaille Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Dans les faits, la rustine MS06-42 fait « planter » brutalement le navigateur sur certains sites et permet, en théorie, grâce à la technique dite du « débordement de mémoire » (buffer overrun), à une personne distante d'exécuter du code malveillant sur l'ordinateur. Ce, en amenant son propriétaire sur un site Web doté d'une adresse très longue, utilisant « la compression et le protocole HTTP 1.1 ».

En France, le Cert-IST, association qui prodigue aux entreprises des services de prévention en matière d'incidents informatiques, a qualifié cette faille de « moyenne ». « Nous nous sommes contentés de publier un avis et non de mettre en place une procédure d'alerte, indique Anne-Laure Bouillot, ingénieur sécurité. Notre activité de surveillance n'a pas relevé d'exploitation de cette faille. » Pour Bernard Ourghanlian également, le danger est minime : « Il n'y a pas de risque de propagation d'un virus. Il faut qu'un utilisateur soit incité à aller sur un site spécifique. Nous n'avons pas de cas grave à signaler. »

En attendant la sortie du correctif pour la MS06-42, Microsoft demande aux utilisateurs d'Internet Explorer d'installer quand même cette mise à jour, mais de désactiver la fonction HTTP 1.1 dans le navigateur. « Certaines applications qui recourent à ce protocole ne fonctionneront pas », prévient Bernard Ourghanlian.

Reste une question : comment est-il possible qu'une mise à jour de sécurité, qu'on imagine objet de toutes les vérifications, puisse aboutir à cette situation ubuesque ?

« Il n'est pas possible d'écrire un logiciel parfait, défend Bernard Ourghanlian. Il faudrait étudier tous les scénarios d'attaques possibles et imaginables pour cela. Internet Explorer est écrit en 24 langues, fonctionne sur de nombreuses plates-formes. Et parfois, alors qu'on aimerait procéder à une batterie de tests - comme ceux dits de non-régression, qui durent en principe 5 à 6 semaines -, la publication d'une faille par des experts nous oblige à accélérer la publication d'un correctif. Notre position n'est pas toujours évidente, entre la sécurité des utilisateurs et la volonté de publier un patch qui ait passé un maximum de vérifications. » Pour l'éditeur, qui fait de la sécurité une priorité, l'épisode n'est vraiment pas le bienvenu.