Publié par Julien L., le Mardi 18 Septembre 2012

Faille dans Internet Explorer : Microsoft propose une parade critiquée

Une faille a récemment été découverte dans Internet Explorer. Toutes les versions depuis la 6 sont touchées, sauf la 10. En attendant la publication d'un patch dédié, Microsoft propose aux utilisateurs du navigateur web d'utiliser EMET, un programme servant de trousse à outils. Mais plusieurs experts en sécurité se montrent perplexes quant à l'efficacité réelle d'EMET.

Principal navigateur web dans le monde, Internet Explorer est naturellement une cible de choix pour les pirates, puisqu'une faille exploitée avec succès peut s'avérer très efficace pour affecter d'un coup des millions d'internautes. Cette position de leader entraîne de fait un biais. Si IE est le plus souvent attaqué, c'est parce que c'est un logiciel très répandu, pas uniquement parce qu'il serait le plus fragile.

Il n'en demeure pas moins que Microsoft, l'éditeur d'Internet Explorer, a une responsabilité toute particulière puisqu'il a le devoir de colmater au plus vite les brèches de sécurité découvertes. Mais il ne faut pas pour autant se précipiter, au risque de ne pas résoudre correctement le problème, ou générer de nouveaux soucis. Or, plusieurs critiques se sont exprimées dernièrement pour contester l'efficacité d'un correctif pour IE.

Lundi, Microsoft a déclaré enquêter sur une faille utilisée par le malware Poison Ivy touchant toutes les versions d'Internet Explorer à partir de la 6 et à l'exception de la 10. La société dit "être au courant d'attaques ciblées tentant d'exploiter cette vulnérabilité" et ne propose pour le moment aucun patch spécifique. En revanche, l'entreprise suggère de déployer EMET (Enhanced Mitigation Experience Toolkit).

Ce programme doit permettre de laisser du temps à Microsoft pour combler la faille, sans pour autant laisser les internautes sans défense. L'objectif de cet utilitaire est d'empêcher "l'exploitation des vulnérabilités logicielles grâce à des technologies de réduction des risques de sécurité". L'attaquant doit au préalable les "mettre en échec pour exploiter les vulnérabilités logicielles"

"Ces technologies de réduction des risques de sécurité ne garantissent pas la non-exploitation des vulnérabilités. Toutefois, elles font en sorte que l'exploitation soit aussi difficile que possible", prévient toutefois Microsoft. Difficulté supplémentaire, EMET nécessite une installation et une configuration. Si un utilisateur expérimenté y arrivera, un utilisateur lambda aura plus de mal à utiliser cette défense.

Plusieurs experts en sécurité interrogés par Reuters se sont montrés circonspects quant à l'efficacité d'EMET. Non seulement EMET ne serait pas particulièrement utile, mais en plus il pourrait entraver la bonne exécution d'autres programmes. L'un d'eux a même suggéré aux internautes de passer temporairement à un autre navigateur web dans la mesure où la vulnérabilité ne concerne que le logiciel de Microsoft.

Selon le découvreur du logiciel malveillant Poison Ivy, il s'agit d'une vulnérabilité zero day qui a été exploitée. Le programme peut servir à prendre le contrôle à distance d'un ordinateur ou dérober des données précises. Selon Reuters, les principaux éditeurs d'antivirus ont mis à jour leurs produits pour contrer la nocivité de Poison Ivy, mais le risque demeurera tant que Microsoft n'aura pas colmater la faille.

Publié par Julien L., le 18 Septembre 2012 à 11h20
 
23
Commentaires à propos de «Faille dans Internet Explorer : Microsoft propose une parade critiquée»
Inscrit le 10/03/2009
913 messages publiés
Moi j'ai un patch plus puissant : Installer un autre navigateur
Inscrit le 05/09/2009
301 messages publiés
Amaury, le 18/09/2012 - 11:53
Moi j'ai un patch plus puissant : Installer un autre navigateur

Idem, en plus d'avoir linux.
Inscrit le 24/12/2011
2308 messages publiés
Les stats de statcounter sont les meilleurs, très bonne méthodologie et base statistique très large. Je pense que Chrome est le leader mondial maintenant.
Inscrit le 18/09/2012
1 messages publiés
Suivez notre guide pour protéger internet explorer
http://www.barberets...ernet-explorer/
Inscrit le 04/05/2009
1174 messages publiés
thb, le 18/09/2012 - 12:04
Les stats de statcounter sont les meilleurs, très bonne méthodologie et base statistique très large. Je pense que Chrome est le leader mondial maintenant.
Ce qui est regrettable...
Car si IE est un mauvais navigateur car imposé et ne respectant pas les standards du web.
Chrome pour sa part est totalement indiscret au niveau du respect de la vie privée de ses utilisateurs.
Bref on fuit la peste pour attraper le choléra.
Inscrit le 15/08/2008
2853 messages publiés
Inscrit le 28/05/2003
494 messages publiés
plop42, le 18/09/2012 - 12:56

thb, le 18/09/2012 - 12:04
Les stats de statcounter sont les meilleurs, très bonne méthodologie et base statistique très large. Je pense que Chrome est le leader mondial maintenant.

Ce qui est regrettable...
Car si IE est un mauvais navigateur car imposé et ne respectant pas les standards du web.
Chrome pour sa part est totalement indiscret au niveau du respect de la vie privée de ses utilisateurs.
Bref on fuit la peste pour attraper le choléra.


y reste firefox ou opera.
Quoi qu'il en soit la meilleure solution est de désinstaller IE...
[message édité par Nycom le 18/09/2012 à 13:16 ]
Inscrit le 08/08/2012
1993 messages publiés
thb, le 18/09/2012 - 12:04
Les stats de statcounter sont les meilleurs, très bonne méthodologie et base statistique très large. Je pense que Chrome est le leader mondial maintenant.


Le leader mondial de la divulgation des données de navigateur à Google, ça ne fait aucun doute !

Installez Firefox ou Opéra. Laissez tomber les navigateurs non fiables ou qui fliquent tout ce que vous faites...
Inscrit le 13/08/2010
8328 messages publiés
Samuel_Vimaire, le 18/09/2012 - 13:18
thb, le 18/09/2012 - 12:04
Les stats de statcounter sont les meilleurs, très bonne méthodologie et base statistique très large. Je pense que Chrome est le leader mondial maintenant.


Le leader mondial de la divulgation des données de navigateur à Google, ça ne fait aucun doute !

Installez Firefox ou Opéra. Laissez tomber les navigateurs non fiables ou qui fliquent tout ce que vous faites...


Oui.
Combien de temps faudra-t-il le répéter ?
Inscrit le 05/09/2012
5 messages publiés
Question : avec Chromium c'est la même chose niveau (ir)respect de la vie privée ?
Inscrit le 05/10/2011
2885 messages publiés
Coconop, le 18/09/2012 - 14:06
Question : avec Chromium c'est la même chose niveau (ir)respect de la vie privée ?

Non.
Inscrit le 05/09/2012
5 messages publiés
milord, le 18/09/2012 - 14:15
Coconop, le 18/09/2012 - 14:06
Question : avec Chromium c'est la même chose niveau (ir)respect de la vie privée ?

Non.

Et si, comme ils le suggerent après l'install, tu le synchronises avec ton compte google ?
Inscrit le 05/10/2011
2885 messages publiés
Coconop, le 18/09/2012 - 14:17

milord, le 18/09/2012 - 14:15

Coconop, le 18/09/2012 - 14:06
Question : avec Chromium c'est la même chose niveau (ir)respect de la vie privée ?


Non.


Et si, comme ils le suggerent après l'install, tu le synchronises avec ton compte google ?

J'sais pas, je crois pas avoir eu cette suggestion. Mais si tu leur demandes gentiment de t'espionner, ils vont t'espionner, chromium ou pas.
Inscrit le 05/09/2012
5 messages publiés
Ok merci. En fait c'était plus pour avoir les bookmarks et les extensions synchronisés, après je me demandais si du coup ils pouvaient récupérer d'autres infos et tracer ta navigation.
[message édité par Coconop le 18/09/2012 à 14:57 ]
Inscrit le 03/10/2011
6753 messages publiés
alex10336, le 18/09/2012 - 12:02
Amaury, le 18/09/2012 - 11:53
Moi j'ai un patch plus puissant : Installer un autre navigateur

Idem, en plus d'avoir linux.
Et, pour les paranos, de tout faire tourner dans une VM.
Inscrit le 23/03/2010
45 messages publiés
mosquito33, le 18/09/2012 - 13:38
Samuel_Vimaire, le 18/09/2012 - 13:18
thb, le 18/09/2012 - 12:04
Les stats de statcounter sont les meilleurs, très bonne méthodologie et base statistique très large. Je pense que Chrome est le leader mondial maintenant.


Le leader mondial de la divulgation des données de navigateur à Google, ça ne fait aucun doute !

Installez Firefox ou Opéra. Laissez tomber les navigateurs non fiables ou qui fliquent tout ce que vous faites...


Oui.
Combien de temps faudra-t-il le répéter ?


J'hallucine quand je vois le si petit nombre de personnes qui utilise Opera alors que c'est un super navigateur (à peine 0.98% en France en juillet dernier) !
Inscrit le 25/08/2008
764 messages publiés
Samuel_Vimaire, le 18/09/2012 - 13:18
thb, le 18/09/2012 - 12:04
Les stats de statcounter sont les meilleurs, très bonne méthodologie et base statistique très large. Je pense que Chrome est le leader mondial maintenant.


Le leader mondial de la divulgation des données de navigateur à Google, ça ne fait aucun doute !

Installez Firefox ou Opéra. Laissez tomber les navigateurs non fiables ou qui fliquent tout ce que vous faites...


Dans ce cas ne recommande pas Opera qui non seulement n'est pas libre (pourquoi pas) mais surtout ne donne pas accès à son code source. Tu n'as aucune garantie que leur code ne permet pas de te fliquer à un moment ou à un autre, à moins de tout décompiler.
Inscrit le 18/09/2012
2 messages publiés
Juste au passage, personne n'a découvert Poison Ivy, là
C'est juste un des trojan les plus connus et répandus ...
Inscrit le 12/08/2011
1165 messages publiés
Nycom, le 18/09/2012 - 13:16

plop42, le 18/09/2012 - 12:56

thb, le 18/09/2012 - 12:04
Les stats de statcounter sont les meilleurs, très bonne méthodologie et base statistique très large. Je pense que Chrome est le leader mondial maintenant.

Ce qui est regrettable...
Car si IE est un mauvais navigateur car imposé et ne respectant pas les standards du web.
Chrome pour sa part est totalement indiscret au niveau du respect de la vie privée de ses utilisateurs.
Bref on fuit la peste pour attraper le choléra.


y reste firefox ou opera.
Quoi qu'il en soit la meilleure solution est de désinstaller IE...


IE vu le nombre de softs qui l'utilisent (je pense tout de suite là par exemple à la bouse monumentale qu'est Diablo 3) vaut mieux pas le virer non.
[message édité par Bretwalda le 19/09/2012 à 10:23 ]
Inscrit le 15/12/2008
203 messages publiés
alex10336, le 18/09/2012 - 12:02
Amaury, le 18/09/2012 - 11:53
Moi j'ai un patch plus puissant : Installer un autre navigateur

Idem, en plus d'avoir linux.


On s'en branle de linux on te parle de browser
Inscrit le 06/06/2012
52 messages publiés
milord, le 18/09/2012 - 14:36
Coconop, le 18/09/2012 - 14:17

milord, le 18/09/2012 - 14:15

Coconop, le 18/09/2012 - 14:06
Question : avec Chromium c'est la même chose niveau (ir)respect de la vie privée ?


Non.


Et si, comme ils le suggerent après l'install, tu le synchronises avec ton compte google ?

J'sais pas, je crois pas avoir eu cette suggestion. Mais si tu leur demandes gentiment de t'espionner, ils vont t'espionner, chromium ou pas.


Cet "espionnage" a souvent un coté bien pratique. Le fait d'avoir ses données stockées sur un serveur plutôt que sur ses appareils assure une certaine sécurité face à un problème matériel, et tout le monde n'a pas les compétences techniques pour se développer ses propres services de Cloud computing. Oui, le navigateur sauvegarde nos mots de passe, mais personnellement, je préfère savoir mon mot de passe stocké par google dans des serveurs sécurisés physiquement, avec duplication des données, plutôt que chez le Figaro, en clair, référencé par les moteurs de recherche.
Inscrit le 08/08/2012
1993 messages publiés




Question : avec Chromium c'est la même chose niveau (ir)respect de la vie privée ?



Non.



Et si, comme ils le suggerent après l'install, tu le synchronises avec ton compte google ?


J'sais pas, je crois pas avoir eu cette suggestion. Mais si tu leur demandes gentiment de t'espionner, ils vont t'espionner, chromium ou pas.



Cet "espionnage" a souvent un coté bien pratique. Le fait d'avoir ses données stockées sur un serveur plutôt que sur ses appareils assure une certaine sécurité face à un problème matériel, et tout le monde n'a pas les compétences techniques pour se développer ses propres services de Cloud computing. Oui, le navigateur sauvegarde nos mots de passe, mais personnellement, je préfère savoir mon mot de passe stocké par google dans des serveurs sécurisés physiquement, avec duplication des données, plutôt que chez le Figaro, en clair, référencé par les moteurs de recherche.

Oh, et stocker tes données sur un disque dur externe ? En t'envoyant ça sur une boite mail free ou opéramail (en les mettant dans un .rar avec mot de passe si besoin...
Inscrit le 23/02/2009
259 messages publiés
Some security experts have said it would be too cumbersome for many PC users to implement the measures suggested by Microsoft. Instead they advised Windows users to temporarily switch from Internet Explorer to rival browsers such as Google Inc's Chrome, Mozilla's Firefox or Opera Software ASA's Opera.

traduction numerama:

Plusieurs experts en sécurité interrogés par Reuters se sont montrés circonspects quant à l'efficacité d'EMET. Non seulement EMET ne serait pas particulièrement utile, mais en plus il pourrait entraver la bonne exécution d'autres programmes. L'un d'eux a même suggéré aux internautes de passer temporairement à un autre navigateur web dans la mesure où la vulnérabilité ne concerne que le logiciel de Microsoft.
...
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Septembre 2012
 
Lu Ma Me Je Ve Sa Di
27 28 29 30 31 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
1 2 3 4 5 6 7