Commentaires : Faille d'IE : les USA et l'Allemagne suggèrent d'utiliser un autre na

sécurité
microsoft
windows
windowsxp
internetexplorer
Tags: #<Tag:0x00007f9218ae7958> #<Tag:0x00007f9218ae7778> #<Tag:0x00007f9218ae7610> #<Tag:0x00007f9218ae74a8> #<Tag:0x00007f9218ae7368>

#1


C'est dire à quel point la vulnérabilité découverte dans Internet Explorer est jugée sérieuse. Signalée ce week-end dans un avertissement de sécurité de Microsoft, la faille affectant toutes les versions du navigateur web depuis la sixième mouture a finalement conduit les autorités allemandes et américaines à recommander l'usage d'un autre logiciel de navigation en attendant la diffusion d'un correctif.

L'office fédéral allemand de la sécurité des technologies de l'information (BSI) a ainsi diffusé un bulletin dans lequel les usagers sont invités à utiliser un autre navigateur web, exactement comme l'US Computer Emergency Readiness Team, qui ne dit pas autre chose dans sa dernière mise à jour.

Ce n'est pas la première fois que l'emploi d'un autre navigateur est suggéré pour contrer les dangers d'une brèche exploitée par une personne mal intentionnée. En 2012, l'agence allemande responsable de la sécurité des technologies de l'information et de l'information avait déjà déconseillé de toucher à Internet Explorer suite à la découverte d'un problème dans son code source.

Si les autorités américaines et allemandes suggèrent de passer par une solution concurrente le temps que le patch soit mis en place, notons que ce conseil est surtout destiné à ceux ne comptant pas suivre les recommandations de Microsoft pour réduire le risque d'une intrusion. Car en effet, il existe plusieurs façons de limiter les risques. Celles-ci sont résumées par le CERTA :


	installer et de configurer l'outil de sécurité EMET 4.1 sur les applications sensibles (dont Microsoft Internet Explorer) afin de limiter les risques connus d'exploitation ;

	activer l'" Enhanced Protected Mode " présent dans Internet Explorer 10 et 11 (64-bit) ;

	désactiver le composant " Vector Markup Language " ;

	désactiver le composant " Flash " du navigateur.


Contrairement à ses homologues américain et allemand, le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques ne propose pas le changement de navigateur comme solution la vulnérabilité. Tout dépendra de la vitesse à laquelle le patch sera disponible et si des cas avérés de piratage sont finalement signalés dans les médias.

Dans le cas de Windows XP, aucune aide n'est à attendre. Sauf coup de théâtre, Microsoft a définitivement mis un terme au support du système d'exploitation au début du mois. Dans ces conditions, l'utilisation d'un autre navigateur web est en revanche particulièrement conseillée... même si l'acquisition d'un nouvel O.S. reste encore la meilleure chose à faire pour s'épargner des ennuis à venir.

Lire la suite


#2

ce n'est pas une nouveauté que IE est une véritable passoire ou plutôt éponge a spywear et autres saloperies qui trainent sur la toile .
avant que micro$oft en fasse un véritable Navigateur sécuriser il passera beaucoup d'eau de la Sammamish River sous les ponts de Redmond .


#3

Le CERTA ne préconise effectivement pas de changer de navigateur; mais le CALID (ministère de la défense, qui travaille directement avec l’ANSSI), le fait :

Contournement provisoire :
Mesures périmétriques :
Dans l’attente d’un correctif, le CALID conseille d’utiliser un
navigateur Web alternatif (tel que Mozilla Firefox, Google Chrome…),
en particulier sur l’ensemble des postes ayant accès à Internet.
Restreindre les droits utilisateur au juste besoin opérationnel.
Ne pas naviguer sur des sites non sûrs.
Mesure techniques (cf. 2014-VULN-107).

Les mesures techniques référencées sont celles citées dans l’article.


#4

Ben, vu que tous les 2 jours, il y a une alerte de sécurité sur IE, Il suffit de dire, n'utilisez plus jamais IE, surtout les prochaines versions. Le dire à chaque fois, c'est se répéter. Ensuite, ça serait bien de demander aux banques de faire un service de banque en ligne qui ne fonctionne pas QUE avec IE.


#5

Tous les navigateurs ont des failles... la question est plutôt de savoir à quelle vitesse et avec quel confort on peut les combler. Sur un navigateur non libre, c'est forcément plus lent et compliqué de créer et déployer un correctif.


#6

Il y a des banques qui demandent “que IE” ? Alors change très vite de banque. Des banques qui ont des vrais sites web, ça ne manque pas.

Sinon, une alerte tous les 2 jours, c’est légèrement exagéré, mais on n’est pas loin:
https://www.google.com/search?q=site%3Acert.ssi.gouv.fr+vuln%C3%A9rabilit%C3%A9+%22Internet+Explorer%22


#7

Faudra nous expliquer en quoi c’est plus lent ou compliqué???


#8

Lynx n’a pas de faille.


#9

Ni de fonctionnalités :)


#10

Parce qu'un logiciel libre a potentiellement des milliers de développeurs ou au moins de personnes qui peuvent se pencher sur son code source, alors qu'avec un logiciel au code fermé je pense qu'on atteint difficilement la centaine.


#11

c’est quand qu’on va suggérer de changer d’OS ^^?


#12

As-tu déjà un lien vers un patch qui va combler cette faille de IE ? Est-ce qu'un blogueur quelque part dans le monde a déjà posté une proposition de correction dans le code source de IE que tu peux appliquer et recompiler ?


#13

Moi je le suggère depuis longtemps.


#14

Pour Windows 9 je pense.
Il va être pire que Windows 8 et d'ici là les distributions Linux seront devenus beaucoup accessible.
Après, les utilisateurs vont vers les plateformes qui disposent du plus de contenu mais les éditeurs vont vers les plateformes les plus utilisés :shifty:.


#15

Le plus de contenus et les plateformes les plus utilisées ? C'est à dire Android et iOS ?


#16

d’un point de vue performance windows 8 est un régal
mais c’est tout
respect de l’utilisateur, au revoir
et pour le 9 et le 10 on peut être assurer qu’ils vont continuer la cloudification de leurs OS
quand je vois le nombre de pigeon (oui, je dit bien pigeon) qui utilisent a chaque fois leurs identifiant hotmail pour se connecter sur leurs ordi au lieu d’utiliser leurs identifiant local…


#17

d’ailleurs c’est à ce demander s’il est pas développer dans ce but…


#18

:mdr: La "solution" française ! :mdr:

Qu'attendez vous donc, madame Michu, pour désactiver le "Vector Markup Language" ?
Comment ? Google ne trouve que des pages en anglais ? Et des pages techniques ? Diantre !

Oui alors comme c'est marqué sur le splendide site du CERT, il faut taper la commande suivante

regsvr32 -u "%CommonProgramFiles%Microsoft SharedVGXvgx.dll"

Je vous jure que ce n'est pas une blague !

Je crois que là, il n'y aura pas que les madames michus qui seront largués

Et les autres, bah ils sont déjà sur Linux ^^<img src="/plugins/numerama-emoji/images/dehors.gif?v=3" title=":dehors:" class="emoji emoji-custom" alt=":dehors:"/>


#19

Malheureusement oui.
Au début du web, les écrans merdiques était plutôt délaissés par les développeurs par rapport aux écrans de type 800x600 ou 1024x768. Avec les smartphones, tout s'inverse. Comme une majorité de connards surfent sur un engin incapable de montrer correctement un site, tous les sites et tous les systèmes s'adaptent pour ces smartphones de merde. Résultat, tu te tapes des sites pour aveugles et des Windows 8 pour adepte du rouleau à pâtisserie plutôt que du pointeur de souris. Dernier site en date, Sudouest.fr, qui a décidé que si tu avais un écran de 1024, c'est que tu étais un smartphone et donc il te faut des gros titres, des photos immenses, et d'énormes zones vides pour pouvoir cliquer avec tes gros doigts. C'est à dire un site juste impossible à consulter avec un ordinateur "normal". Tchô !
La masse à toujours raison, soyons toujours au niveau le plus bas. Et ce qui vaut pour les smartphones, vaut pour les TAFTA et autres merdes qui arrivent.


#20

Je t’assure que Mme Michu utilise également GNU/Linux. Windows c’est pour les gens qui n’ont que ça à faire. C’est fini le temps où c’était à la mode de faire une réinstallation hebdomadaire de son OS.