Faille de sécurité Internet Explorer : quand l’Etat s’en mêle

Dans notre beau pays légèrement jacobin, il est de coutume de prétendre que l’Etat se mêle de tout, ce qui est souvent vrai.

Nous en avons encore une illustration avec cet étonnant bulletin d’alerte du CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) qui met en garde les citoyens contre la vulnérabilité et donc la dangerosité potentielle d’Internet Explorer (toutes versions 6, 7 et 8), dont il se dit que les failles seraient à l’origine du piratage des serveurs de Google par des hackers chinois. Des failles qui ne concerneraient en fait que la version 6 du navigateur.

D’après les éléments indiqués sur son site, le CERTA n’a pas émis son bulletin après avoir effectué des tests approfondis du navigateur de Microsoft, mais en effectuant sa mission principale, qui consiste essentiellement en une veille sur les risques informatiques : dans ce cas précis il s’agit donc ni plus ni moins que d’une reprise d’un bulletin de sécurité émis le 14 janvier dernier par Microsoft lui-même.

Outre le fait que les éditeurs d’autres navigateurs (Firefox en tête) doivent se frotter les mains à la vue d’une telle alerte, cette mesure de précaution temporaire – et salutaire – est me semble-t-il une première dans la guerre des navigateurs, si l’on met de côté les pressions déjà exercées par l’Union Européenne à l’encontre de la position dominante de Microsoft.

Entre la percée de Firefox, l’inexorable montée en puissance de Google Chrome, largement appuyée ces derniers jours par une campagne publicitaire massive, et les soucis techniques relayés officiellement par les gouvernements (français et allemand), il faut vraiment être animé d’une foi en acier trempé quand on travaille chez Microsoft au développement d’Internet Explorer.

Mise à jour : cela étant, Internet Explorer n’est pas le seul visé puisque Mozilla Firefox et Google Chrome ont également fait l’objet d’alertes de sécurité de la part du CERTA, mais bizarrement personne n’en n’a parlé… (merci Enky pour l’info)

5 articles au hasard :

- Porno chic

- 7 façons visuelles de valoriser les commentaires dans un blog

- Shazam, une application pour iPhone époustouflante

- Mon réseau social c’est mon blog

- Pourquoi une PME doit avoir un blog : 10 raisons concrètes

Tags: Failles, Internet Explorer, sécurité

39 commentaires pour "Faille de sécurité Internet Explorer : quand l’Etat s’en mêle"

1

Clem le 19 janvier 2010 à 10:04

A défaut d’avoir « une foi en acier trempé », quand on travaille chez Microsoft au développement d’Internet Explorer, je pense qu’il faudrait avoir un peu plus de conscience professionnelle et sortir un vrai navigateur digne de ce nom, et non une ènième version buguée…

Microsoft risque d’avoir de plus en plus de mal, et c’est tout le bien que je leur souhaite, malgré les efforts (trop récents) pour remonter la pente.
2

benoa le 19 janvier 2010 à 10:07

Je ne vois pas le rapport avec les attaques en Chine ; ce n’est mentionné nulle part. Tu ne mélangerais pas un peu tout, là? De plus, la mise en garde ne concerne pas seulement la version 6 d’Internet Explorer, mais également toutes les versions antécédentes.
3

Enky le 19 janvier 2010 à 10:12

Des alertes CERTA y’en a pour quasiment tout les softs, http://www.certa.ssi.gouv.fr/s.....7-ALE-012/

Le CERTA c’est pas vraiment pour le grand public
4

Eric le 19 janvier 2010 à 10:14

@Enky : en effet, mais là comme ça concerne IE on peut considérer que cela touche le grand public
5

Enky le 19 janvier 2010 à 10:23

L’alerte que je cite est pour Firefox, grand public aussi et là je parle même pas des alertes pour Windows !

Y’a un truc qui me gène dans cet article, l’état ne ce mêle pas de IE de façon despotique, c’est juste le rôle du CERTA : « Les deux principaux objectifs du CERTA sont d’assurer la détection des vulnérabilités et la résolution d’incidents concernant la sécurité des systèmes d’information (SSI) ainsi que l’aide à la mise en place de moyens permettant de se prémunir contre de futurs incidents. »

Une petite dernière pour Google Chrome : http://www.certa.ssi.gouv.fr/s.....9-AVI-180/
6

Rykian le 19 janvier 2010 à 10:28

Moi au contraire, j’avais entendu que la faille « chinoise » était présente sur toutes les versions d’IE.
7

Eric le 19 janvier 2010 à 10:34

@benoa : sur le rapport entre la faille Internet Explorer et le hack de Google en Chine :
http://www.korben.info/operati.....-hack.html
http://awah.freevar.com/awah/?p=82
http://www.macgeneration.com/n.....t-explorer
etc etc…
C’est donc mentionné partout au contraire
Sur la mise en garde, si, cela concerne les versions 6,7 et 8, relis bien ce document :
http://www.certa.ssi.gouv.fr/s.....0-ALE-001/
Voilà, en général je me documente un peu avant d’écrire un article, pense à faire la même chose quand tu postes un commentaire
8

Eric le 19 janvier 2010 à 10:35

@Enky : merci pour ces précisions, je crois que cela mérite un correctif sur mon article !
9

Pierre Col - Kizz TV le 19 janvier 2010 à 10:44

Si j’ai bien compris, entre le 14 janvier où la faille a été découverte et le 9 février, il va s’écouler une grosse vingtaine de jours durant lesquels tout peut arriver aux utilisateurs de IE ?

Microsoft ne serait pas capable de résoudre le problème plus rapidement ?

Aucun patch ne peut être livré en quelques jours seulement, selon une procédure exceptionnelle ?
10

toma3775 le 19 janvier 2010 à 11:25

Bonjour

Firefox et Opera sont plus sûrs et plus performants.

Petite précision : il y a plus de failles repérées concernant Firefox que IE : http://secunia.com/advisories/.....stics_2009

MAIS il y a une différence essentielle : les développeurs de Mozilla corrigent plus rapidement les failles que le géant Microsoft : http://securiteoff.blogspot.co.....-la-m.html.

Quant à désactiver JavaScript et ActiveX, ce n’est peut-être pas si facile à faire car beaucoup de sites les utilisent…

Bonne journée
11

Eric le 19 janvier 2010 à 11:37

Oui ce conseil qui revient fréquemment de désactiver Javascript est ridicule. C’est comme si on disait « pour éviter les pannes avec votre voiture ne faites pas tourner le moteur ». Ridicule car inapplicable.
12

Dany le 19 janvier 2010 à 13:26

Rendons nous à l’évidence, il n’y a aucun navigateur sûr! (ou alors faites moi signe!)

Encore une chance que nous ne soyons pas de grosses multinationales à la merci de ces attaques… Par contre les pirates doivent se faire plaisir dans les réseaux des entreprises du CAC 40… Après tout, si on peut pirater Google, ça ne devrait pas être trop dur de récupérer la recette du Nutella!

@dyvantity (un gourmant)
13

Tomoe le 19 janvier 2010 à 13:43

Peut-être blonde, mais je ne vois pas le rapport entre l’affaire « Aurora » qui nous occupe et est l’objet du présent bulletin d’alerte du Certa et un communiqué faisant état de vulnérabilités de Firefox et datant de … juillet 2007 (oui, 2007 !) ou de Google Chrome datant de mai 2009, donc il y a plusieurs mois…
14

Delfkhyn le 19 janvier 2010 à 13:52

« Internet Explorer n’est pas le seul visé puisque Mozilla Firefox et Google Chrome ont également fait l’objet d’alertes de sécurité de la part du CERTA, mais bizarrement personne n’en n’a parlé… »

Peut-être parce que les failles de ces deux là sont corrigés dans les jours suivants au contraire de IE. C’est un fait, Microsoft met du temps à corriger les failles de ses produits.
15

Pierre le 19 janvier 2010 à 15:13

oui, j’ai vu ça il y a 2 jours !
Ca m’a bien fait rire d’ailleurs…
Je pense que cette alerte va peut-être convertir à FireFox des gens qui n’avaient pas encore « oser » tester ce navigateur alternatif et très riche au niveau de la personnalisation.
16

Kinthia le 19 janvier 2010 à 15:58

Merci pour l’information, je n’étais pas au courant que Mozilla était aussi concerné. Etrange qu’à la télé ils n’en mentionnent aucunement le nom !
17

Delfkhyn le 19 janvier 2010 à 16:31

Kinthia> c’est actuellement IE qui a une faille connue non corrigée, pas les autres navigateurs !!
18

Tomoe le 19 janvier 2010 à 16:49

Mais non, Mozilla n’est pas concerné sur ce coup là ! L’attaque de Google par les Chinois (opération « Aurora ») n’est passée que par Internet Explorer. De toutes manières, les Chinois sont à 99,99999% sur IE et clones d’IE (si si, ça existe http://tinyurl.com/y9ekn72) et ne connaissent que ça.
Bien évidemment, personne n’est à l’abri de failles, Mozilla pas plus qu’un autre. Mais il faudrait peut-être éviter de tout mélanger
19

Tomoe le 19 janvier 2010 à 16:51

Oups, dans le lien précédent, la virgule est venue avec. Le voilà donc tout seul et fonctionnel :
http://tinyurl.com/y9ekn72
20

Micka le 19 janvier 2010 à 16:59

Je préfères largement Firefox a IE, pourtant arrêtons les conneries disant que IE est moins sécurisé…Ce qui peut etre vrai 2 ans plus tôt, ne l’est plus forcement! Surtout en informatique !
http://www.zdnet.fr/actualites.....369,00.htm
21

Hola hips le 19 janvier 2010 à 17:26

Qu’est-ce que le jacobinisme français vient faire ici ? Le CERTA, que je sache, n’est pas inféodé au gouvernement; et je ne sache pas non plus qu’il ait des intérêts pro ou anti MS.

Si tu cites le CERTA, cite donc aussi le BSI allemand, qui a émis une recommandation analogue.

Cordialement.
22

Eric le 19 janvier 2010 à 18:17

@Hola hips : je n’ai pas dit que le CERTA était inféodé au gouvernement, mais c’est un organisme qui en dépend, jette donc un oeil sur l’url du site du CERTA, qui est un sous-domaine de .gouv.fr
Apparemment tu as mal lu mon billet : je mentionne aussi la position allemande.
C’était nécessaire d’être aussi agressif ? On dirait que c’est à la mode de confondre commenter et aboyer en ce moment.
23

Hola+hips le 19 janvier 2010 à 19:09

Pardon si j’ai semblé agressif !

J’ai lu « les gouvernements français et allemand », je n’ai pas trouvé mention du BSI.

Tout à fait sereinement et sans aboyer, je dois dire que j’ai ressenti ton article comme une critique du travail du Certa, et de parti pris pour Microsoft.

Bonne journée quand même !
24

daddon le 19 janvier 2010 à 22:40

Vaste farce ! Les spécialistes .gouv.fr sans nous citer recommandent l’utilisation d’un navigateur autre que IE depuis des années…donc les faiblesses de ce navigateur sont connues…La bonne question est pourquoi réagir officiellement seulement maintenant alors que paradoxalement après avoir basculé dans un monde *nux nous revenons dans le monde crosoft(exchange, office et le reste…)?
25

ptit-lou le 19 janvier 2010 à 23:48

et si c’était juste un règlement de compte entre politiques / pdg dont on ne sauras jamais rien ?
26

Trends' Blog le 20 janvier 2010 à 00:15

Enfin !!! Peut être que grâce a ca ceux qui naviguent encore sous IE vont migrer vers FF ou Chrome…

IE est un calvaire pour les développeur web.
27

Ludovix le 20 janvier 2010 à 09:27

On a reçu au boulot une note de service tirée du bulletin du CERTA afin de ne plus utiliser IE ^^
28

etudiant gestion du risque le 20 janvier 2010 à 14:48

Aouch…. Un gros coup pour la réputation d’IE…
29

We wibe le 20 janvier 2010 à 14:51

Avec la guerre des navigateurs, si ça s’ébruite ça va leur mettre un sacré coup…
30

ChrOnOs le 21 janvier 2010 à 02:24

La comparaison avec les failles de Chrome et Firefox est un peu rapide….

-> Firefox versions 2.0.0.4 et antérieures.
-> Google Chrome versions antérieures à 1.0.154.64.
-> Internet Explorer (toutes versions 6, 7 et

Perso je suis en 4.0.249.43 sur chrome et 3.5.7 pour firefox. Tout en étant pas sûr d’être à jour…
31

scbb le 21 janvier 2010 à 02:52

Encore cette gué-guerre Internet Explorer contre les autres navigateurs qui fonctionnent super bien et qui sont les mieux sécurisés !!!!

Il faut arrêter, y’en a marre !

On se croirait à la récré et moi mon navigateur, il est mieux que le tien et moi j’en ai une plus grosse, na na nère.

j’avais commencé à écrire un bel article et je me suis dit que de toute façon le pro FF resteraient sur leurs positions et les anti-Microsoft aussi.

Moi quand je fais le plein de ma voiture je suis heureux de pouvoir mettre le même carburant quelque soit la marque de la station service dans laquelle je vais. Au moins les Total B.P. ou autres Shell ne prennent pas les automobilistes en otages avec un carburant pour les voitures noires, un autre pour les bleues et un autre …
Si çà pouvait être la même chose dans l’informatique, … …, ce serait le paradis.

Mais bon revenons sur terre, continuez à vous faire votre gué-guerre çà fait avancer le schmilblick.
32

Sebansky le 21 janvier 2010 à 12:36

Ils ont tous des failles ensuite certain navigateurs sont réparé plus rapidement que d’autres.
33

Pierre Col - Kizz TV le 22 janvier 2010 à 10:15

Comme je l’imaginais, Microsoft n’a pas traîné à réagir et un correctif est disponible :
http://www.microsoft.com/franc.....0-002.mspx
34

externalisation le 25 janvier 2010 à 10:12

La CERTA ne fait donc qu’une pâle copie de la déclaration de Microsoft. Donc, l’Etat ne s’en mêle pas pas mais fait juste une copie de déclaration.
35

BeeMedia le 25 janvier 2010 à 12:22

Si cela peut encourager les utilisateurs à passer vers un navigateur décent comme firefox et dans une moindre mesure chrome, alors je suis tout a fait d’accord.

Cela fait maintenant 6 ans que microsoft est incapable de sortir un navigateur respectant les normes web… un calvaire pour tout développeur web qui perd plus de temps à « hacker » sa programmation pour que cela marche sous IE, qu’il n’en faut pour créer tout son site.
36

franz le 18 avril 2010 à 14:21

Oui je suis assez d’accord ie est souvent penible pour l’integration xhtml/css
37

sr40150 le 21 mai 2010 à 11:57

Bon bah je vais continuer à utiliser Firefox et chrome alors !. De toute façon IE n’est pas recommandé pour linux

Ajouter un commentaire

Cliquer ici pour annuler la réponse.

La vie en Web !
Presse-citron est un site d'information sur les tendances et les bons plans du web, les médias sociaux et les technologies mobiles.