Il y a bien une faille dans Internet Explorer... que Microsoft ne peut pas corriger pour l'instant

Benoît Théry
22 janvier 2020 à 14h55
15
Internet explorer logo

Au cours de l'année, le navigateur Internet Explorer aura reçu des mises à jour concernant des failles parfois critiques. Microsoft a déjà mis à jour le logiciel en urgence en septembre dernier, face à un défaut de sécurité capable de donner le contrôle d'un ordinateur à un pirate.

Le géant américain vient de confirmer l'existence d'une autre faille révélée pour la première fois par l'US-CERT, la division de la sécurité intérieure chargée de signaler les failles de sécurité majeures. Si Microsoft affirme travailler sur un nouveau correctif, celui-ci ne sera pas prêt tout de suite.

Toutes les versions de Windows sont concernées

La faille dont il est question concerne la gestion de la mémoire par Internet Explorer. Elle touche toutes les versions de Windows, y compris Windows 7 qui ne compte plus de mises à jour de sécurité depuis quelques jours. D'après TechRadar, ce défaut de sécurité serait étonnamment similaire à une faille zero day récemment révélée sur Mozilla Firefox.

Elle est susceptible de permettre à un pirate informatique de lancer du code malveillant sur l'ordinateur exécutant Internet Explorer. L'US-CERT a tweeté vendredi 17 janvier une note de sécurité révélant son existence. Celle-ci indique qu'elle aurait déjà été exploitée par des hackers, une information rapportée par Qihoo360, une entreprise chinoise spécialisée dans la cybersécurité.

Lire aussi :
Windows 10 : la NSA alerte Microsoft sur une faille critique de l'OS, qui la corrige

Pas de correctif avant le 11 février

Néanmoins, ni Qihoo360, ni Microsoft, ni Mozilla n'ont rapporté le procédé précisément utilisé pour les attaques, ni qui en était à l'origine, ni qui avait été ciblé. Microsoft a déclaré à la rédaction de TechCrunch qu'elle était « au courant des attaques ciblées » et qu'elle « travaillait sur un correctif ». L'entreprise affirme cependant que ce patch ne devrait pas être disponible avant la prochaine série de mises à jour, actuellement prévue pour le 11 février.

La menace semble être prise suffisamment au sérieux pour que la CISA (Cybersecurity and Infrastructure Security Agency, créée en 2018) publie à son tour un avertissement. Elle recommande la lecture de la note de sécurité de l'US-CERT, celle publiée par Microsoft et l'application des mises à jour dès leur publication. Elle ajoute : « Envisagez d'utiliser Microsoft Edge ou un autre navigateur jusqu'à ce que des correctifs soient disponibles ».

Lire aussi :
Comparatif navigateur Internet : quel est le meilleur en 2020 ?

En février dernier, Microsoft avait averti des dangers de l'utilisation d'Internet Explorer, essayant de faire passer ses utilisateurs à Edge. D'après le site NetMarketShare, « IE » recensait encore 7,44 % des parts de marché en décembre 2019.

Source : TechRadar
Benoît Théry

Benoît Théry

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellem...

Lire d'autres articles

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellement, j'apprends à sourire sur mes photos de profil.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (15)

dredd
7,44% d’utilisateurs de portails ou de web apps uniquement compatibles avec IE que personne ne veut, ou ne sait comment, mettre à jour.<br /> Ce truc a tellement été en position dominante a une époque où tout allait dans tous les sens que des tas de trucs foireux ont été développés avec uniquement ce navigateur en tête. J’en connais certains, si demain IE ne fonctionne plus, c’est 100% de leur productivité qui s’arrête. C’est quand même assez dingue.
Kriz4liD
Dans mon taf , on a des applications qui ne fonctionnent qu avec flash et Java 7 … Avec en prime des certificats non valides .
gwlegion
ca deviens grave … il serait temps que votre SI se remue les fesses
barjy
Si déjà il y a un certificat (valide ou pas), c’est que la connexion est chiffrée, c’est déjà ça
barjy
Et ptet que le SI n’a pas les moyens (financier) de remplacer l’application concernée, voir même qu’aucune autre appli ne peut la remplacer tout court… il a bon dos le « SI » hein!
gwlegion
je parlais du SI au sens general … evidament, pas que le SI, mais les decideurs aussi …<br /> enfin, je crois qu’on connais tout les deux les problematiques ^^<br /> n’empeche que java7 et flash, c’est pas des bonnes idées …
K4minoU
et moi qui pensait que ma SI est foireuse… =)<br /> Bon courage lol
dredd
Tu bosserais pas pour certaines institutions « multi-étatiques » ?<br /> Parce que ce que tu décris, c’est mon cauchemar quotidien. Et c’est pas qu’une question de SI qui fout rien. Parfois c’est des trucs dont personne ne sait qui est responsable et qu’il est impossible de changer sans que quelqu’un en prenne la responsabilité. Laisse moi te dire que t’as personne prêt a risquer sa carrière pour un truc dont il n’a rien a foutre et c’est normal.
Popoulo
« ni Qihoo360, ni Microsoft, ni Mozilla n’ont rapporté le procédé précisément utilisé pour les attaques, ni qui en était à l’origine, ni qui avait été ciblé »<br /> Toujours la même rengaine. Alignement des planètes toussa…
Sekki
Bas en même temps Internet Explorer devait être remplacé par Edge qui lui même est remplacé par le nouveau Chronium truc. Du coup ca fait pas mal d’historique à maintenir tout ça.
Kriz4liD
Tu résumes très bien notre cas, personne ne souhaite prendre cette responsabilité.
daerlnaxe
Il me semble qu’Edge n’est pas compatible en dessous de 7 et beaucoup de boites sont encore sous xp.
gwlegion
le soucis, c’est qu’en ne fesant rien, ils prennent la responsabilitée des problemes a venir
gabnight
Il est impossible d’accéder aux données systèmes en utilisant JavaScript. Il est seulement possible de télécharger un fichier par la fenêtre de gestion de fichier lorsqu’un site a besoin que vous lui fournisseur un document. Ici, il s’agit d’une utilisation malveillante d’une faille dans le code du navigateur internet qui permet de sortir d’un contexte standard JavaScript.
Voir tous les messages sur le forum
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Une faille dans les processeurs Silicon d'Apple menace le chiffrement des données Une faille dans les processeurs Silicon d'Apple menace le chiffrement des données
Xbox Gaming : une faille de sécurité à la gravité jugée Xbox Gaming : une faille de sécurité à la gravité jugée "importante" découverte dans le service de Microsoft
Des hackers ont réussi à cloner les cartes d’accès pour 3 millions de chambres d’hôtel Des hackers ont réussi à cloner les cartes d’accès pour 3 millions de chambres d’hôtel
Google Chrome : plusieurs vulnérabilités jugées sérieuses détectées, voici ce qu'il faut faire pour être en sécurité Google Chrome : plusieurs vulnérabilités jugées sérieuses détectées, voici ce qu'il faut faire pour être en sécurité
Google Chrome commence bien l'année en corrigeant un bug critique Google Chrome commence bien l'année en corrigeant un bug critique
En Espagne, le réseau d’Orange mis à genoux à cause d’un mot de passe ridiculement peu sécurisé En Espagne, le réseau d’Orange mis à genoux à cause d’un mot de passe ridiculement peu sécurisé