Il y a bien une faille dans Internet Explorer... que Microsoft ne peut pas corriger pour l'instant

Publié le 22 janvier 2020 à 14h55

Au cours de l'année, le navigateur Internet Explorer aura reçu des mises à jour concernant des failles parfois critiques. Microsoft a déjà mis à jour le logiciel en urgence en septembre dernier, face à un défaut de sécurité capable de donner le contrôle d'un ordinateur à un pirate.

Le géant américain vient de confirmer l'existence d'une autre faille révélée pour la première fois par l'US-CERT, la division de la sécurité intérieure chargée de signaler les failles de sécurité majeures. Si Microsoft affirme travailler sur un nouveau correctif, celui-ci ne sera pas prêt tout de suite.

Toutes les versions de Windows sont concernées

La faille dont il est question concerne la gestion de la mémoire par Internet Explorer. Elle touche toutes les versions de Windows, y compris Windows 7 qui ne compte plus de mises à jour de sécurité depuis quelques jours. D'après TechRadar, ce défaut de sécurité serait étonnamment similaire à une faille zero day récemment révélée sur Mozilla Firefox.

Elle est susceptible de permettre à un pirate informatique de lancer du code malveillant sur l'ordinateur exécutant Internet Explorer. L'US-CERT a tweeté vendredi 17 janvier une note de sécurité révélant son existence. Celle-ci indique qu'elle aurait déjà été exploitée par des hackers, une information rapportée par Qihoo360, une entreprise chinoise spécialisée dans la cybersécurité.

Pas de correctif avant le 11 février

Néanmoins, ni Qihoo360, ni Microsoft, ni Mozilla n'ont rapporté le procédé précisément utilisé pour les attaques, ni qui en était à l'origine, ni qui avait été ciblé. Microsoft a déclaré à la rédaction de TechCrunch qu'elle était « au courant des attaques ciblées » et qu'elle « travaillait sur un correctif ». L'entreprise affirme cependant que ce patch ne devrait pas être disponible avant la prochaine série de mises à jour, actuellement prévue pour le 11 février.

La menace semble être prise suffisamment au sérieux pour que la CISA (Cybersecurity and Infrastructure Security Agency, créée en 2018) publie à son tour un avertissement. Elle recommande la lecture de la note de sécurité de l'US-CERT, celle publiée par Microsoft et l'application des mises à jour dès leur publication. Elle ajoute : « Envisagez d'utiliser Microsoft Edge ou un autre navigateur jusqu'à ce que des correctifs soient disponibles ».

En février dernier, Microsoft avait averti des dangers de l'utilisation d'Internet Explorer, essayant de faire passer ses utilisateurs à Edge. D'après le site NetMarketShare, « IE » recensait encore 7,44 % des parts de marché en décembre 2019.

Source : TechRadar

Par Benoît Théry

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellement, j'apprends à sourire sur mes photos de profil.

Articles de Benoît Théry

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

dredd

7,44% d’utilisateurs de portails ou de web apps uniquement compatibles avec IE que personne ne veut, ou ne sait comment, mettre à jour.

Ce truc a tellement été en position dominante a une époque où tout allait dans tous les sens que des tas de trucs foireux ont été développés avec uniquement ce navigateur en tête. J’en connais certains, si demain IE ne fonctionne plus, c’est 100% de leur productivité qui s’arrête. C’est quand même assez dingue.

Kriz4liD

Dans mon taf , on a des applications qui ne fonctionnent qu avec flash et Java 7 … Avec en prime des certificats non valides .

gwlegion

ca deviens grave … il serait temps que votre SI se remue les fesses

barjy

Si déjà il y a un certificat (valide ou pas), c’est que la connexion est chiffrée, c’est déjà ça

barjy

Et ptet que le SI n’a pas les moyens (financier) de remplacer l’application concernée, voir même qu’aucune autre appli ne peut la remplacer tout court… il a bon dos le « SI » hein!

gwlegion

je parlais du SI au sens general … evidament, pas que le SI, mais les decideurs aussi …
enfin, je crois qu’on connais tout les deux les problematiques ^^

n’empeche que java7 et flash, c’est pas des bonnes idées …

K4minoU

et moi qui pensait que ma SI est foireuse… =)

Bon courage lol

dredd

Tu bosserais pas pour certaines institutions « multi-étatiques » ?

Parce que ce que tu décris, c’est mon cauchemar quotidien. Et c’est pas qu’une question de SI qui fout rien. Parfois c’est des trucs dont personne ne sait qui est responsable et qu’il est impossible de changer sans que quelqu’un en prenne la responsabilité. Laisse moi te dire que t’as personne prêt a risquer sa carrière pour un truc dont il n’a rien a foutre et c’est normal.

Popoulo

« ni Qihoo360, ni Microsoft, ni Mozilla n’ont rapporté le procédé précisément utilisé pour les attaques, ni qui en était à l’origine, ni qui avait été ciblé »
Toujours la même rengaine. Alignement des planètes toussa…

Sekki

Bas en même temps Internet Explorer devait être remplacé par Edge qui lui même est remplacé par le nouveau Chronium truc. Du coup ca fait pas mal d’historique à maintenir tout ça.