Microsoft reproche aux autorités d'effrayer les utilisateurs d'Internet Explorer

19/01/2010 à 11h15 Mis à jour le 19/01/2010 à 11h24

L'éditeur minimise les risques liés à la sécurité après la découverte d'une faille dans son navigateur.

Mise à jour le 19 janvier :
Microsoft minimise les risques liés à la faille d'Internet Explorer

A la suite de la découverte d'une faille touchant le navigateur de Microsoft, les autorités françaises et allemandes ont conseillé aux internautes d'utiliser un autre logiciel qu'Internet Explorer. Une recommandation que le numéro 1 du logiciel est loin d'avoir goûtée.

Interrogé par le Nouvelobs.com, Bernard Ourghanlian, le directeur technique de Microsoft France, estime que « cette recommandation est inutilement effrayante ». Selon lui, il ne serait pas nécessaire de changer de logiciel pour surfer sur la Toile.

Le directeur technique minimise les problèmes de sécurité liés au navigateur maison en rappelant que les « attaques ne touchent que la version 6 d'Internet Explorer, fournie avec Windows XP, soit 10 à 15 % des internautes ». Quant à la faille présente sur les versions 7 et 8 d'Internet Explorer, elle ne serait pas exploitable.

Reste à savoir si ces arguments convaincront les internautes.

Première publication le 18 janvier 2010 :
La France et l'Allemagne déconseillent Internet Explorer
Les autorités françaises et allemandes alertent les utilisateurs à propos d'une faille touchant le navigateur de Microsoft.

Google n'est pas le seul à pâtir de la faille découverte dans Internet Explorer. Cette vulnérabilité, reconnue par Microsoft jeudi 14 janvier, concerne les versions 6, 7 et 8 du navigateur et fait actuellement l'objet de mises en garde de la part des pouvoirs publics français et allemand.

Le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa), un organisme dépendant de la Défense nationale, a émis vendredi un bulletin d'alerte très officiel. Ainsi, pour parer d'éventuels problèmes et en attendant la publication d'un correctif par Microsoft, il « recommande l'utilisation d'un navigateur alternatif. [Il] rappelle également qu'il est fortement conseillé de naviguer sur Internet avec un compte utilisateur aux droits limités et de désactiver l'interprétation de code dynamique (JavaScript, ActiveX...). De plus, l'activation du DEP (Data Execution Prevention) peut limiter l'impact de cette vulnérabilité. » On ne saurait être plus clair (lire le communiqué complet du Certa).

En Allemagne, le BSI (une agence fédérale chargée de la sécurité dans les technologies de l'information) fait la même recommandation.

Des attaques via Explorer 6

Si Microsoft France n'a pour l'heure pas réagi, Microsoft Allemagne n'a pas beaucoup apprécié l'alerte lancée par le gouvernement. Selon l'agence de presse AP, l'éditeur a insisté sur le fait que le grand public et les internautes lambda n'avaient pas à s'inquiéter outre mesure. Le réglage à leur plus haut niveau de tous les paramètres de sécurité peut limiter grandement d'éventuels dégâts, a-t-il précisé. Microsoft refuse en tout cas de cautionner les mises en garde du BSI allemand.

Quoi qu'il en soit, les uns et les autres reconnaissent que ce problème de sécurité ne cause pas de dégâts en soi, mais ouvre une brèche exploitable par des pirates. C'est ce qui s'est passé pour Google en Chine. Pour l'heure, les attaques connues n'ont été lancées qu'au travers d'Internet Explorer 6. IE8 est moins vulnérable, la fonction DEP étant activée par défaut sur ce navigateur.

La faille permet d'intégrer à distance du code malicieux dans le navigateur et de prendre le contrôle de la machine en disposant des mêmes droits d'accès que l'utilisateur. Mais pour cela, il faut inciter les victimes à cliquer sur un lien qui activera le code. Une attaque qui passe généralement par l'envoi d' e-mails ou de messages instantanés fournissant ce lien.

Arnaud Devillard

Votre opinion

89 opinions

samyc 27/09/2011 à 23h06

Enfin! il y en a marre de IE, c'est l'enfer du web design! à quand un passage obligatoire vers IE9? les anciennes versions sont toutes buggées et doit recourir à 1000 subterfuges qui vous font perdre en temps et en créativité pour avoir un résultat convenable, aucun problème avec les autres navigateurs, seul IE ne respecte pas les règles CSS convenablement et & 3 guerres de retard! Content que les pouvoirs publics réagissent!
ben-75 11/03/2010 à 11h41

Oui, mais ça commence à changer.
1) Internet Explorer n'est plus obligatoirement inclus dans Windows
2) Microsoft est contraint de signaler l'existence des autres navigateurs, qui sont parfois quasi-inconnus.
ben-75 11/03/2010 à 11h37

Le problème, c'est que Mozilla Firefox ne bloque pas toutes les pubs et autres scripts vicieux, même s'il reste beaucoup plus fiable qu'Internet Explorer. Je vous recommande également Adblock plus.
ericlgk34 21/01/2010 à 15h36

Les utilisateurs d'IE sont en général des gens qui connaissent pas grand chose dans ce domaine. Les utilisateurs ne vont pas faire d'infidélité à Microsoft, parce qu'ils ignorent l'existence des autres navigateurs. IE reste le plus utilisé parce que microsoft renferme ses clients dans sa bulle.
Super Penguin 20/01/2010 à 14h47

Tu sais si Linux était attaquable comme Windows, ça se saurait!!

Il ne faut pas tout confondre !
Linux ne peut pas être attaqué !!
Tout simplement pour ça :
========================================
Contrôle d'accès

Dans un système d'exploitation multi-utilisateurs, un ensemble de programmes assure la sécurité des informations enregistrées dans les mémoires ainsi que la disponibilité de l'ordinateur, ceci afin de préserver la confidentialité et éviter que de manipulations effectuées par un utilisateur perturbent l'utilisation de l'ordinateur par les autres utilisateurs. Cette fonctionnalité est souvent absente des systèmes d'exploitation pour les appareils personnels.

Dans ces systèmes d'exploitation tout utilisateur doit préalablement décliner son identité avant d'utiliser l'ordinateur. Puis un programme du système d'exploitation vérifie cette identité par rapport à un annuaire ou un référentiel (voir authentification). Le système d'exploitation établit alors une liste des opérations autorisées ou interdites à l'utilisateur en fonction des règlements (en anglais policies) qui ont été introduits par l'administrateur sécurité ? la personne responsable de la sécurité des informations.

Lors de chaque opération demandée par un logiciel applicatif, le système d'exploitation vérifie préalablement si l'utilisateur qui manipule le logiciel applicatif est autorisé à effectuer cette opération. La vérification se fait sur la base des règlements ainsi que des listes de droits d'accès introduits par l'administrateur sécurité. Le système d'exploitation refusera toute opération non autorisée et inscrira le refus dans un journal d'activité.

En particulier, le système d'exploitation peut refuser à un utilisateur de lire, de modifier, ou de supprimer un fichier, selon la liste des droits d'accès introduits concernant ce fichier. Le nom des personnes autorisées à modifier les listes de droits d'accès est également indiqué dans la liste de droits d'accès.

Le système d'exploitation va également refuser la mise hors service de programmes centraux tels que les logiciels serveur ou des programmes du système d'exploitation par tout utilisateur qui n'a pas préalablement reçu le privilège d'effectuer cette opération ? selon les règlements introduits par l'administrateur de sécurité.

Lorsqu'un logiciel autonome (bot informatique) demande des opérations au système d'exploitation, le logiciel doit préalablement décliner son identité en tant que produit puis, sur la base de cette identité, le système d'exploitation effectue les mêmes vérifications que pour une personne physique.

Les mécanismes de contrôle d'accès ont aussi pour effet de lutter contre les logiciels malveillants
===============================================
Windows n'est pas capable de respecter ça !!

Alors tu vois que Linux à de beaux jours devant lui contrairement à Windows !
Ne répète pas bêtement les dires de Microsoft, parce que ils ne sont pas impartials !

===========================================
Les gros défauts de Microsoft :
Microsoft et la concurrence

En 1995, conformément au Sherman Antitrust Act - une loi des États-Unis pour la prévention de l'abus de position dominante, le département de la justice des États-Unis interdit à Microsoft certaines de ses pratiques considérées comme nuisibles à la concurrence. Deux ans plus tard, un procès est ouvert pour non respect des interdictions de 1995 : Microsoft obtient l'annulation du procès sur l'argument que « la justice n'est pas équipée pour juger du bien fondé du design des produits de haute technologie (sic) ».

Entre 1999 et 2001 une enquête est ouverte concernant la position de Microsoft. L'enquête, menée par les juges Thomas Jackson et Richard Posner amène à la conclusion que Microsoft utilise sa position de monopole pour exclure des rivaux, nuire à ses concurrents et détruire l'innovation. La société échappe de peu à la scission, mais est dans l'obligation de publier les spécification de ses technologies, en particulier les interfaces de programmation et les protocoles réseau ceci afin de préserver l'interopérabilité et la concurrence.

Plus tard, en 2007, Microsoft est condamné par la Commission européenne à une amende de près de 500 millions d'euros pour violation de l'article 82 du traité CE et l'article 54 de l'accord EEE (textes relatifs au droit de la concurrence et l'abus de position dominante) après avoir refusé de publier une de ses spécifications techniques à son concurrent Sun Microsystems [note 13]. Selon la Commission européenne les agissements de Microsoft nuisent à l'interopérabilité des systèmes d'exploitation et à la concurrence.
====================================================

Sans commentaires !!
Banzai万歳 20/01/2010 à 11h45

Je ne parlais pas des serveurs... tu parlais du poste de travail... donc le PC et ils sont bcp + souvent sous Windows.
Pour les serveurs, effectivement c'est du Linux qu'on retrouve assez souvent, y compris dans les établissements scolaires.
Mais de la a dire que c'est la solution contre les virus... non car il existe déjà des attaques sur linux (surtt des attaques sur serveur, plus nombreuse que sous les serveur de Windows d'ailleur).
Super Penguin 20/01/2010 à 10h07

Tu n'as pas l'air de savoir ce qu'est un serveur !
Ce n'est pas un ordinateur, c'est une solution logiciel qui sert un service.
Il y a des ordinateurs qui ont 5 serveurs !

Et puis pour te le rappeler, tu as bien un serveur DHCP chez toi pour ta connexion Internet !

Tu parle du C, c'est tu ce que c'est seulement ?
Tous les OS sont développés en C et C++ !

Le C c'est aussi le noyeau de l'Unix et même Windows utilise de l'Unix du protocole TCP/IP pour les réseaux distants et locaux !

Dans certains domaines de l'armement très sensibles, c'est encore de l'Unix qui est utilisé, le fameux Java de Sun !

Famille Unix :
Unix
Linux
Solaris (Sun)
BSD
Irix
Mac OS
Le seul qui ne fait pas partie de la famille Unix, c'est Windows, mais il est obligé d'utiliser de l'Unix pour pouvoir accéder à Internet entre autre !
Microsoft a même déposé un brevet pour le double clic !!!
Ils ont que ça à faire !
Quand à tes chiffres ils sont faux, Microsoft perd des parts de marché dans tous les domaines !
Evidemment, tu vend pour Microsoft qui te laisse une petite part du gâteau !
otodid`kt 20/01/2010 à 09h35

A mon avis il y a faille.
Par contre, dans le cas présent la méthode employée ne doit pas la rendre exploitable.
Ce qui veut bien évidemment dire que dans l'avenir elle ne le soit pas.
MilkaMan 20/01/2010 à 09h23

je comprend pas la phrase :
''Quant à la faille présente sur les versions 7 et 8 d'Internet Explorer, elle ne serait pas exploitable.''
si c'est pas exploitable pour moi c'est pas une faille ?!? alors faille ou pas faille ?
otodid`kt 19/01/2010 à 23h12

"Pourquoi les Sous-Marins nucléaires utilisent un version custom d'un OS ? (bah oui pas une ubuntu, fédora, ...) ...
Bah pour que personne est accès a cet OS et puisse trouver des failles ... Ou est le rapport avec Windows/Linux/Mac ou des pseudos failles comme celles-ci ?"

Je dirai surtout qu'il est plus maniable car open source, plus léger car écrit en langage de deuxième génération (le C), plus facilement évolutif et adaptable au besoin spécifique donc parfait pour l'armement. Il était déjà choisi pour équiper le Char Leclerc qui était le premier temps réel avec optronique et visée automatique en vitesse de déplacement à 90 km/h.

"Pourquoi mélanger serveur et PC ? Windows n'a jamais dominé le marché des serveurs puisqu'il a commencé a s'y intéresser bien tard alors que les Unix/linux dominait le truc ... En voyant les PDM de Windows server en peu de temps, on peut voir que ca avance pas mal :)"

Il a fallu attendre DEC développé le noyau de NT pour voir M$ s'attaquer au marché des serveurs et sortir son premier OS réseau. Donc W$ s'appuie sur ce même noyau depuis près de 20 ans mais ce n'est pas Redmond qui l'a développé. Tout comme toutes les avancées majeures de ses produits, Redmond ne fait rien,M$ sous -traite.

"Sinon, rigolo que les "linuxiens" en voient partout des linux car y'a 10 ans on nous rabâchait "linux va faire 50/50" et maintenant du haut de ses 1% bah on nous redis la même chose ? Faut ptet ouvrir les yeux et arrêter de trouver des excuses de vente liée chépokoa ..."

Il y a 10 ans je ne pense que le tout clavier soit bien vivace pour l'utilisateur lambda étant donné que l'assimilation du clic n'a pas été simple (j'en sais quelque chose, j'étais en première ligne pour vendre et apprendre à utiliser un ordinateur). Toujours est-il que la vente liée est assimilée à de la vente forcée maintenant que M$ a une alternative pour le grand public.

Lire la suite des opinions (89)