Mise à jour du 22/01/09
Le patch de sécurité d'Internet Explorer est arrivé
Microsoft recommande de l'appliquer dès que possible et souligne que son navigateur est moins exposé que les autres
La mise à jour de sécurité qui colmate la faille d'Internet Explorer (6, 7 et 8) exploitée par des hackers chinois contre Google est désormais disponible.
Microsoft recommande vivement à tous ses utilisateurs de l'installer dès que possible à travers*Windows update.
Microsoft publie également une liste de 3 recommandations pour optimiser la sécurité du surf avec son navigateur :
Maintenir à jour le postes de travail en appliquant le dernier Service Pack(Service Pack 2 de Windows Vista, Service Pack 3 de Windows XP) et toutes les mises à jour postérieures, grâce à Windows Update.
Installer Internet Explorer 8 :Quelle que soit la version de Windows (XP ou Vista) utilisée, Internet Explorer 8 offrant, d'après Redmond, des protections de sécurité améliorées.
Installer la mise à jour de sécurité cumulative pour Internet Explorer (978207). Les professionnels de l'informatique sont conviés à installer les mises à jour proposées via le Centre de téléchargements. Les utilisateurs finaux peuvent mettre à jour leur ordinateur en se connectant sur le site Microsoft Update.
Dans les deux cas, Microsoft invite à consulter les informations complémentaires du bulletin MS10-002.
Réagissant aux invitations à changer de navigateurs (qui ont fait bondir les téléchargements de Firefox et Opera, lire ci-avant), Microsoft se fend d'un petit pic : «Rappelons que l’ensemble des navigateurs Internet connaissent ponctuellement des alertes de sécurité».
Et de conclure «qu’Internet Explorer n’est pas plus concerné (plutôt moins même si l’on regarde de près les statistiques des alertes publiées par des sites spécialisés) que les autres navigateurs».
La mise à jour de sécurité cumulative pour Internet Explorer (978207) est disponible ici.
Source : Le bulletin de sécurité de Microsoft
Et vous ?
Pensez-vous qu'Internet Explorer n’est pas plus concerné (et même plutôt moins) par les alertes de sécurité que les autres navigateurs ?
MAJ de Gordon Fowler
21/01/10
Internet Explorer patché aujourd'hui
Les téléchargements de Firefox et d'Opera s'envolent
Le malheur des uns. On connait la suite.
Après l'annonce d'un patch d'urgence, hier, Microsoft vient de préciser qu'il arriverait aujourd'hui, à 10 h du matin, heure Californienne (UTC -8).
C'est donc vers 19h, heure de Paris, que sortira cette mise à jour de sécurité qui comblera la faille qui a jeté Internet Explorer 6 dans la tourmente.
Le déferlement médiatique qui a suivi la découverte de l'implication du navigateur de Microsoft dans l'attaque chinoise contre Google a, en effet, été sans précédent.
Et il ne fait pas que des malheureux. Le "Blog of Metrics" de la Fondation Mozilla regroupe toutes les données chiffrées en rapport avec l'organisation. Il a noté un envol des téléchargements (+ 300.000 par rapport à un jour normal), notamment en Allemagne où les autorités ont recommandé d'abandonner IE pour un de ses concurrents.
De son coté, Opera, l'éditeur Norvégien, vient d'annoncer un doublement des téléchargements de son navigateur.
Tous ces utilisateurs reviendront-ils à Internet Explorer ?
Rien n'est moins sûr.
Ce qui l'est, en revanche, c'est que la mise à jour de Microsoft sera accompagnée d'un gros effort de communication pour colmater, non seulement la faille, mais aussi l'exode de ses utilisateurs.
Le patch de sécurité sera suivi à 13h (22h heure de Paris) d'un webcast pour répondre aux questions des internautes. Il sera accessible sur inscription préalable ici.
Source : Annonce de Microsoft
Et vous ?
Tous ces utilisateurs qui auront testé un autre navigateur reviendront-ils à Internet Explorer ?
MAJ de Gordon Fowler
20/01/10
Un patch pour Internet Explorer arrive en urgence
Pour tenter de mettre fin aux critiques qui s'abattent sur le navigateur de Microsoft
Rarement un navigateur - même Internet Explorer, pourtant habitué - aura connu autant de critiques.
Après les attaques chinoises contre Google, et la responsabilité reconnue du navigateur de Microsoft, les temps sont devenus très durs pour Explorer.
La France et l'Allemagne ont même été jusqu'à recommander de changer de navigateur. Une bien mauvaise publicité au moment de l'arrivée du "ballot screen" et de la campagne d'affichage massive de Chrome, le concurrent "made in" Google.
Les arguments de Bernard Ourghanlian directeur technique et sécurité chez Microsoft France dans le Nouvel Observateur d'hier (lire ci-avant) n'y ont rien fait. Bien au contraire.
Dans les minutes qui suivirent cet entretien où il affirmait que recommander de quiter IE était "effrayant", Symantec et Vupen Security pointaient des failles exploitées non seulement dans IE6 mais également dans IE7 et IE8.
"Compte tenu de la très grande attention générée par ce problème, de la confusion autour de ce que les utilisateurs doivent faire pour se protéger et de la montée en puissance du degré de menace de l'environnement, Microsoft réalisera une mise à jour de sécurité d'urgence pour colmater cette vulnérabilité", vient de réagir George Stathakopoulos de Microsoft.
Sans préciser toutefois la date de sortie espérée pour le patch.
De quoi sauver le Soldat Explorer fasse aux feux nourris sortant de toutes parts ?
Source : L'annonce du patch par George Stathakopoulos
MAJ de Gordon Fowler
19/01/10
"La faille d'Internet Explorer 6 est présente mais pas exploitable dans IE7 et IE8"
Répond Microsoft à ceux qui veulent abandonner son navigateur : qui croire ?
«Dans l'état actuel des choses, cette recommandation est inutilement effrayante. Aujourd'hui, Internet Explorer 7 et 8 ne posent pas de problèmes. Il n'est pas nécessaire de changer de navigateur. La faille présente sur la version 6 d'Internet Explorer, se retrouve dans les versions 7 et 8, mais n'est pas exploitable», vient d'affirmer Bernard Ourghanlian directeur technique et sécurité chez Microsoft France au Nouvel Observateur.
Sans préciser ce qu'était une faille qui existe mais pas exploitable...
Des affirmations immédiatement contredites par Vupen Security, qui publie dans la foulée un bulletin expliquant que cette faille est parfaitement exploitable.
Il n'en reste pas moins que changer de navigateur n'était qu'une partie des recommandations du CERTA.
Désactiver les scripts et naviguer avec un compte utilisateur aux droits limités étant les autres conseils à suivre.
Tous les navigateurs, précise le CERTA, ayant leurs failles de sécurité (y compris Firefox ou Chrome)
Symantec vient par ailleurs de publier un communiqué de presse dans lequel il affirme que la faille d'Internet Explorer est actuellement exploitée par le Trojan Hydraq.
Sans préciser plus avant quelles versions de Internet Explorer étaient concernées.
Qui croire ?
Source : L'interview de Bernard Ourghanlian au Nouvel Observateur, l'exploit démontré par Vupen Security, et le bulletin de Symantec
Et vous ?
Que pensez-vous qu'il faille (sans jeu de mot) faire : abandonner IE ou pas abandonner IE ?
MAJ de Gordon Fowler
Paris et Berlin recommandent de ne plus utiliser Internet Explorer
Suite aux cyber-attaques contre Google : Google utilise-t-il IE 6 en interne ?
C'est une des premières conséquences de l'affaire qui secoue ce début d'année : la sécurité d'Internet Explorer est - encore plus - au centre du viseur des médias IT.
Pour faire court, des pirates chinois ont utilisé une faille dans Internet Explorer 6, visiblement utilisé en interne chez Google (!!!), pour pénétrer le réseau et voler des informations sensibles (code source, informations sur des comptes G-mail), etc.
Microsoft a immédiatement reconnu l'implication de son navigateur. Honnêtement, c'est tout à son honneur. D'autant plus que la faille ne concerne pas que IE 6 mais aussi les versions 7 et 8 du navigateur de Redmond. Un patch d'urgence est donc en cours.
Mais l'aveu de Microsoft – qui répétons-le, était la chose à faire la plus responsable – vient de jeter la panique dans l'esprit des autorités Allemandes et Françaises.
Berlin (via le BSI) et Paris (via le CERTA) viennent purement et simplement de déconseiller l'utilisation d'Internet Explorer.
Le conseil d'utiliser un autre navigateur ravira certainement la concurrence mais elle ne règlera qu'une partie des problèmes de sécurité levés par cette histoire.
Le Centre d'expertise de réponse et de traitement des attaques informatiques le sait d'ailleurs très bien puisqu'il s'empresse de rajouter que changer de navigateur ne doit pas empêcher «de naviguer sur l'Internet avec un compte utilisateur aux droits limités et [de désactiver] l'interprétation de code dynamique (JavaScript, ActiveX, ...)».
Une question : après avoir banni Firefox de ses administrations au motif que seul IE 6 était sûr, avec quoi le gouvernement Wallon va-t-il bien pouvoir surfer ?
Source : La recommandation du Certa
Lire aussi :
Le Dossier Chine vs Google de Développez.com
Développement Web
Sécurité
Windows
Et vous ?
Recommandation excessive (cela aurait pu arriver avec n'importe quel navigateur) ou au contraire, pensez-vous qu'il faille abandonner IE ?
La part de marché d'Internet Explorer va-t-elle être impactée par cette histoire ?
Pensiez-vous que Google utilisait IE 6 en interne ? Cela vous fait-il peur ?
"La faille d'Internet Explorer 6 existe dans IE7 et IE8 mais elle n'est pas exploitable"
Affirme Microsoft, des experts disent le contraire
"La faille d'Internet Explorer 6 existe dans IE7 et IE8 mais elle n'est pas exploitable"
Affirme Microsoft, des experts disent le contraire
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !