Microsoft reproche aux autorités d'effrayer les utilisateurs d'Internet Explorer

19/01/2010 à 11h15 Mis à jour le 19/01/2010 à 11h24

L'éditeur minimise les risques liés à la sécurité après la découverte d'une faille dans son navigateur.

Mise à jour le 19 janvier :
Microsoft minimise les risques liés à la faille d'Internet Explorer

A la suite de la découverte d'une faille touchant le navigateur de Microsoft, les autorités françaises et allemandes ont conseillé aux internautes d'utiliser un autre logiciel qu'Internet Explorer. Une recommandation que le numéro 1 du logiciel est loin d'avoir goûtée.

Interrogé par le Nouvelobs.com, Bernard Ourghanlian, le directeur technique de Microsoft France, estime que « cette recommandation est inutilement effrayante ». Selon lui, il ne serait pas nécessaire de changer de logiciel pour surfer sur la Toile.

Le directeur technique minimise les problèmes de sécurité liés au navigateur maison en rappelant que les « attaques ne touchent que la version 6 d'Internet Explorer, fournie avec Windows XP, soit 10 à 15 % des internautes ». Quant à la faille présente sur les versions 7 et 8 d'Internet Explorer, elle ne serait pas exploitable.

Reste à savoir si ces arguments convaincront les internautes.

Première publication le 18 janvier 2010 :
La France et l'Allemagne déconseillent Internet Explorer
Les autorités françaises et allemandes alertent les utilisateurs à propos d'une faille touchant le navigateur de Microsoft.

Google n'est pas le seul à pâtir de la faille découverte dans Internet Explorer. Cette vulnérabilité, reconnue par Microsoft jeudi 14 janvier, concerne les versions 6, 7 et 8 du navigateur et fait actuellement l'objet de mises en garde de la part des pouvoirs publics français et allemand.

Le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa), un organisme dépendant de la Défense nationale, a émis vendredi un bulletin d'alerte très officiel. Ainsi, pour parer d'éventuels problèmes et en attendant la publication d'un correctif par Microsoft, il « recommande l'utilisation d'un navigateur alternatif. [Il] rappelle également qu'il est fortement conseillé de naviguer sur Internet avec un compte utilisateur aux droits limités et de désactiver l'interprétation de code dynamique (JavaScript, ActiveX...). De plus, l'activation du DEP (Data Execution Prevention) peut limiter l'impact de cette vulnérabilité. » On ne saurait être plus clair (lire le communiqué complet du Certa).

En Allemagne, le BSI (une agence fédérale chargée de la sécurité dans les technologies de l'information) fait la même recommandation.

Des attaques via Explorer 6

Si Microsoft France n'a pour l'heure pas réagi, Microsoft Allemagne n'a pas beaucoup apprécié l'alerte lancée par le gouvernement. Selon l'agence de presse AP, l'éditeur a insisté sur le fait que le grand public et les internautes lambda n'avaient pas à s'inquiéter outre mesure. Le réglage à leur plus haut niveau de tous les paramètres de sécurité peut limiter grandement d'éventuels dégâts, a-t-il précisé. Microsoft refuse en tout cas de cautionner les mises en garde du BSI allemand.

Quoi qu'il en soit, les uns et les autres reconnaissent que ce problème de sécurité ne cause pas de dégâts en soi, mais ouvre une brèche exploitable par des pirates. C'est ce qui s'est passé pour Google en Chine. Pour l'heure, les attaques connues n'ont été lancées qu'au travers d'Internet Explorer 6. IE8 est moins vulnérable, la fonction DEP étant activée par défaut sur ce navigateur.

La faille permet d'intégrer à distance du code malicieux dans le navigateur et de prendre le contrôle de la machine en disposant des mêmes droits d'accès que l'utilisateur. Mais pour cela, il faut inciter les victimes à cliquer sur un lien qui activera le code. Une attaque qui passe généralement par l'envoi d' e-mails ou de messages instantanés fournissant ce lien.

Arnaud Devillard