Une faille de sécurité concerne Internet Explorer et les applications Office dans certaines circonstances. Microsoft a pris des dispositions pour limiter les risques.

6 février 2019. Chris Jackson, l’un des chefs de la cybersécurité chez Microsoft, publiait un message sur les forums de l’entreprise américaine, intitulé « les risques que vous prenez en utilisant Internet Explorer par défaut ». Expliquant pourquoi les internautes ont tout intérêt à changer de navigateur web, le billet de l’intéressé pouvait être résumé ainsi : il ne faut plus se servir d’IE pour aller sur le web.

Deux ans plus tard, la part de marché d’Internet Explorer dans le monde est devenue quasi insignifiante — elle est évaluée à 0,6 % dans le monde en août 2021, selon Statcounter. Un score bas, mais piégeux : rapporté au nombre de postes informatiques sous Windows à l’international, ce sont potentiellement des centaines de milliers d’individus qui se cachent derrière cet apparent petit pourcentage.

C’est dans ce contexte que Microsoft a publié, le 7 septembre, une alerte concernant une faille de sécurité dans MSHTML. Il s’agit du moteur de rendu qui sert à Internet Explorer à afficher les pages web (et qui porte dans ces circonstances le nom de Trident). La brèche, qui a un score de criticité élevé (entre 7,9 et 8,8 / 10), a été repérée par des personnes malveillantes

Office
La vulnérabilité implique l’utilisation d’un document Office vérolé.

« Microsoft enquête sur les rapports faisant état d’une vulnérabilité dans MSHTML qui affecte Windows. Microsoft a connaissance d’attaques ciblées qui tentent d’exploiter cette vulnérabilité en utilisant des documents Microsoft Office spécialement conçus », écrit la firme de Redmond. Elle précise avoir pris entretemps des dispositions pour en atténuer le risque.

Le scénario d’une attaque peut se produire si un contrôle ActiveX (qui permet de faire dialoguer des programmes) malveillant est utilisé par un document Microsoft Office — la suite bureautique de l’entreprise américaine — qui héberge le moteur de rendu d’Internet Explorer. Si la victime ouvre le document piégé, elle pourrait par mégarde donner au pirate un accès au compte Windows utilisé sur le PC.

Des mesures de protection sont prises par Microsoft

Face à ce risque, des mesures successives ont été prises : l’antivirus maison de Microsoft, Defender, a été mis à jour pour détecter et contrer l’exploitation de cette brèche par du code malveillant. La société rappelle aussi que les documents provenant du net et qui sont ouverts par Office le sont en étant verrouillés — c’est le mode protégé, qui fait en sorte de passer les documents en lecture seule.

Par ailleurs, l’entreprise fournit des indications pour intervenir dans le registre de Windows, ce qui nécessite quelques bonnes bases en informatique pour ne pas faire de bêtise. Via la manipulation que décrit Microsoft, il est possible de désactiver l’installation de tous les contrôles ActiveX dans IE pour se prémunir. Cela n’empêchera pas les contrôles ActiveX déjà installés de fonctionner, sans risque.

L’entreprise indique que des mesures de protection ont été mises en place pour limiter la casse. // Source : Flickr/Kārlis Dambrāns

Il est à noter que d’autres mesures périphériques peuvent jouer un rôle dans la sécurité des internautes. On sait que Microsoft est lancé dans un plan visant à en finir avec IE : en novembre 2020, Teams a cessé de prendre en charge IE 11, la dernière mouture du navigateur. Puis, en août 2021, le même scénario s’est joué pour Microsoft 365, la suite bureautique en ligne de l’entreprise.

Internet Explorer a été progressivement mis de côté par Microsoft, qui lui préfère Edge. Il s’agit d’un redémarrage de l’entreprise américaine sur le marché des navigateurs, avec une solution plus moderne et mieux maintenue. Ce Microsoft Edge a lui-même évolué au fil du temps, car il a fini par épouser la même base logicielle que Google Chrome, avec le navigateur web libre Chromium.

Plus généralement, les jours d’Internet Explorer sont comptés : l’application doit être retirée de Windows 10 d’ici juin 2022. Cela étant dit, Microsoft indiquait dans son message que cette désinstallation ne concernerait pas certaines versions de l’OS (celles qui ont droit à un support étendu), ni le moteur de rendu MSHTML/Trident. D’ailleurs, des bouts de ce composant seront conservés dans Windows 11.

Partager sur les réseaux sociaux

La suite en vidéo