Microsoft reconnaît une faille de sécurité d’Internet Explorer

Author:

BOSTON (Reuters) – Microsoft a annoncé avoir découvert une nouvelle faille de sécurité dans son navigateur Internet Explorer, qui expose les utilisateurs de PC aux virus informatiques, et a invité ses clients à télécharger un antivirus pour limiter les risques de piratage.

La faille de sécurité concerne des centaines de millions d’utilisateurs d’Internet Explorer (IE) dans le monde. Il permet à un hacker de prendre le contrôle d’un PC qui s’est connecté à un site malveillant, a précisé Microsoft lundi soir.

La société américaine appelle ses clients à installer un antivirus pour protéger leur ordinateur en attendant qu’une mise à jour sécurisée d’IE soit disponible.

Microsoft n’a pas précisé combien de temps il lui faudrait pour corriger la faille du navigateur, mais des experts en sécurité informatique estiment que cela pourrait prendre environ une semaine.

En attendant, Microsoft recommande d’utiliser son outil de sécurité gratuit EMET (Enhanced Mitigation Experience Toolkit), disponible avec toutes les consignes de paramétrage manuel (en anglais) sur le site http://blogs.technet.com/b/msrc/

Selon les experts, l’installation est cependant tellement complexe qu’il serait plus simple pour de nombreux utilisateurs Windows d’opter – au moins temporairement – pour un navigateur concurrent comme Chrome de Google, Firefox de Mozilla ou Opera d’Opera Software.

“Pour les utilisateurs, il pourrait être plus facile de cliquer tout simplement sur Chrome”, souligne Dave Marcus, directeur de recherche de l’éditeur de logiciels de sécurité informatique McAfee, propriété d’Intel.

Marc Maiffret, directeur technique de la société de sécurité BeyondTrust prévient de son côté qu’EMET n’est pas compatible avec certains logiciels utilisés par les réseaux d’entreprises.

Quant à Tod Beardsley, ingénieur de Rapid7, il doute de l’efficacité réelle de l’outil de sécurité Microsoft face à certaines attaques.

Microsoft n’a souhaité faire aucun commentaire face à ces mises en cause.

VULNÉRABILITÉ CRITIQUE

La faille de sécurité d’IE a été découverte par Eric Romang, un chercheur du Luxembourg, lorsque son PC a été infecté par un cheval de troie appelé Poison Ivy, qui sert à voler des données ou à prendre le contrôle à distance d’un ordinateur.

En analysant l’infection, il a constaté qu’elle avait pénétré son système grâce à une vulnérabilité critique du navigateur de Microsoft.

“A chaque fois qu’on trouve une faille ‘zero-day’ comme celle-là, c’est préoccupant”, juge Liam O Murchu, directeur de recherche de l’éditeur de logiciels anti-virus Symantec. “Il n’y a pas de correctifs disponibles. Il est difficile pour les utilisateurs de se protéger.”

Les failles ‘zero-day’ sont rares – en grande partie parce qu’elles sont difficiles à repérer. Les experts informatiques n’en ont découvert que huit en 2011, selon Symantec.

Symantec et les autres éditeurs de logiciels de sécurité proposent déjà une mise à jour à leurs clients pour tenir compte de la faille sécuritaire d’IE, mais Liam O Murchu prévient que ce n’est pas une solution miracle.

“Le danger, avec ce type d’attaques, c’est qu’elles mutent et que les hackers trouvent toujours un moyen de contourner les défenses que nous mettons en place”, explique-t-il.

Internet Explorer est le deuxième navigateur le plus utilisé au monde, avec 33% de parts de marché le mois dernier, selon les données de StatCounter. Il talonne Chrome, leader sur le marché avec 34%.

Tangi Salaün pour le service français, édité par Benoît Van Overstraeten

Categories: Actualités
Tags: ,

Leave a Reply

Your email address will not be published. Required fields are marked *