Microsoft est au courant qu’une vulnérabilité critique se trouve dans les dernières versions du navigateur web Internet Explorer, et qu’elle est partiellement utilisée à des fins malveillantes, mais l’entreprise ne fournira pas de patch avant le 11 février.

Vous utilisez encore Internet Explorer pour vous balader sur le web, alors même que Microsoft vous recommande de l’abandonner ? Si c’est le cas, l’alerte de ces derniers jours va peut-être vous inciter à revoir votre position. En effet, l’entreprise américaine sait qu’il existe une vulnérabilité critique dans son navigateur, et qu’elle est exploitée partiellement à des fins malveillantes. Or, si un correctif est sur les rails, il ne sera pas disponible avant quelques semaines.

Ce sont les versions 9 à 11 d’Internet Explorer — donc les toutes dernières — qui sont exposées à la faille, détaille un bulletin de sécurité daté du 17 janvier. Celle-ci se trouve « dans la façon dont le moteur de script traite les objets en mémoire », et « pourrait corrompre la mémoire de telle manière qu’un attaquant pourrait exécuter un code arbitraire [à l’encontre] de l’utilisateur », est-il expliqué.

Logo Internet Explorer sur Fond Blanc // Source : Numerama

Logo Internet Explorer sur Fond Blanc

Source : Numerama

Accès privilégié au PC

Si l’attaque réussit, l’attaquant peut récupérer les mêmes privilèges que sa cible — en clair, il aura le même degré d’autorité et de contrôle que l’utilisateur a sur son PC.

S’il a des droits d’administrateur, alors l’assaillant pourra prendre le contrôle de la machine, y installer des programmes, consulter des fichiers ou encore supprimer des données à sa guise. La simple visite d’un site peut suffire à exploiter cette vulnérabilité. Et pour inciter un internaute précis à aller sur cet espace piégé, il suffit de recourir à de l’ingénierie sociale, en lui envoyant un mail trompeur.

La bonne nouvelle, c’est que Microsoft travaille sur un patch afin de colmater la brèche. La mauvaise, c’est que l’éditeur ne le fournira pas avant le 11 février, date à laquelle la société mettra à disposition de ses clients les dernières mises à jour pour ses logiciels. En effet, le groupe les fournit traditionnellement le deuxième mardi du mois. La règle n’est toutefois pas figée : si la situation est particulièrement grave, il arrive à Microsoft de déroger à son calendrier mensuel.

Microsoft

Microsoft se concentre désormais sur Edge, le successeur d’Internet Explorer.

La vulnérabilité est présente sur toute une palette de versions de Windows, y compris les différentes moutures de Windows 10. On trouve aussi Windows 8.1, Windows 7, Windows Server 2019/2016/2012/2008 dans la liste des cibles potentielles. Pour limiter les dégâts, des solutions d’atténuation peuvent être provisoirement déployées en attendant le patch, qu’il faudra annuler lorsqu’il sera disponible.

Depuis février 2019, Microsoft conseille au public de délaisser Internet Explorer au profit de son successeur, Edge, ou, à défaut, pour l’un des autres grands navigateurs web, comme Chrome, Firefox, Safari ou Opera. Cependant, même si l’entreprise est en train de tourner la page d’IE, des mises à jour continuent d’affluer : la preuve avec la sortie, en septembre, d’un patch de sécurité critique. Mais cela ne durera pas.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.