Cela vous intéressera aussi

Découverte la dernière semaine de l'année 2012, une faillefaille critique d'InternetInternet Explorer (versions 6, 7 et 8) a été colmatée par Microsoft grâce à un correctif à appliquer d'un seul clic. Malheureusement, celui-ci n'est que temporaire.

Il n'aura pas fallu longtemps à Microsoft pour réagir, preuve que le danger était réel. L'éditeur de Redmond vient en effet de publier un correctif pour son navigateurnavigateur Internet Explorer, afin de combler une faille de sécurité critique annoncée le 29 décembre dernier par l'intermédiaire d'un bulletin de sécurité spécial.

Il faut dire qu'il y avait urgence, puisque Microsoft reconnaissait que cette faille était déjà exploitée pour des attaques malveillantes de type « 0-day », c'est-à-dire sans qu'il existe de protection pour les contrer. Cependant, toutes les versions d'Internet Explorer n'étaient pas touchées. Le problème concernait en effet les versions 6, 7 et 8 sous Windows XPWindows XP et VistaVista, mais pas Internet Explorer 9 sous Windows 7Windows 7 ni Internet Explorer 10 sous Windows 8.

Une nouvelle faille de sécurité touche le navigateur Internet Explorer. Mais seulement dans ses versions 6, 7 et 8 utilisées sous Windows XP et Vista. Les utilisateurs de Windows 7 et Windows 8 ne sont pas concernés. © Microsoft

Une nouvelle faille de sécurité touche le navigateur Internet Explorer. Mais seulement dans ses versions 6, 7 et 8 utilisées sous Windows XP et Vista. Les utilisateurs de Windows 7 et Windows 8 ne sont pas concernés. © Microsoft

Concrètement, à cause de cette faille située au niveau de la gestion de la mémoire par le navigateur, un pirate pouvait prendre le contrôle d'un PCPC si son utilisateur visitait une page piégée ou cliquait sur un lien malicieux (dans son logiciellogiciel de courrier électronique ou de messagerie instantanéemessagerie instantanée). De quoi faciliter la propagation d'un ver ou d'un virus ou subtiliser des informations personnelles comme des codes d'accès ou un numéro de carte bancaire.

Une simple rustine pour le moment

Avant de publier son correctif en début de semaine, Microsoft conseillait d'effectuer une vérification des paramètres de sécurité d'Internet Explorer afin de les régler en position maximale pour bloquer l'exécution de scripts ActiveXActiveX. Le patch proposé depuis, de type Fix It, permet de combler la faille sans avoir à redémarrer l'ordinateurordinateur.

Mais attention : il ne s'agit que d'une simple rustine, une solution provisoire qui modifie quelques clés du registre de Windows, mais qui est loin de résoudre totalement le problème. Il faudra sans doute attendre pour cela le 8 janvier ou le 12 février 2013, date des prochains Patch Tuesdays, ces jours de diffusiondiffusion de correctifs pour l'ensemble des logiciels Microsoft. On trouvera peut-être des mises à jour spécifiques aux versions 6, 7 et 8 d'Internet Explorer. Alors seulement, ces versions seront définitivement protégées contre cette faille de sécurité.