"IE n’est pas le navigateur le plus concerné par les alertes de sécurité" d'après Microsoft, qui sort un patch

[Gordon Fowler]

Mise à jour du 22/01/09

Le patch de sécurité d'Internet Explorer est arrivé
Microsoft recommande de l'appliquer dès que possible et souligne que son navigateur est moins exposé que les autres


La mise à jour de sécurité qui colmate la faille d'Internet Explorer (6, 7 et 8) exploitée par des hackers chinois contre Google est désormais disponible.
Microsoft recommande vivement à tous ses utilisateurs de l'installer dès que possible à travers*Windows update.

Microsoft publie également une liste de 3 recommandations pour optimiser la sécurité du surf avec son navigateur :

Maintenir à jour le postes de travail en appliquant le dernier Service Pack(Service Pack 2 de Windows Vista, Service Pack 3 de Windows XP) et toutes les mises à jour postérieures, grâce à Windows Update.
Installer Internet Explorer 8 :Quelle que soit la version de Windows (XP ou Vista) utilisée, Internet Explorer 8 offrant, d'après Redmond, des protections de sécurité améliorées.
Installer la mise à jour de sécurité cumulative pour Internet Explorer (978207). Les professionnels de l'informatique sont conviés à installer les mises à jour proposées via le Centre de téléchargements. Les utilisateurs finaux peuvent mettre à jour leur ordinateur en se connectant sur le site Microsoft Update.

Dans les deux cas, Microsoft invite à consulter les informations complémentaires du bulletin MS10-002.

Réagissant aux invitations à changer de navigateurs (qui ont fait bondir les téléchargements de Firefox et Opera, lire ci-avant), Microsoft se fend d'un petit pic : «Rappelons que l’ensemble des navigateurs Internet connaissent ponctuellement des alertes de sécurité».

Et de conclure «qu’Internet Explorer n’est pas plus concerné (plutôt moins même si l’on regarde de près les statistiques des alertes publiées par des sites spécialisés) que les autres navigateurs».

La mise à jour de sécurité cumulative pour Internet Explorer (978207) est disponible ici.


Source : Le bulletin de sécurité de Microsoft

Et vous ?

Pensez-vous qu'Internet Explorer n’est pas plus concerné (et même plutôt moins) par les alertes de sécurité que les autres navigateurs ?


MAJ de Gordon Fowler



21/01/10

Internet Explorer patché aujourd'hui
Les téléchargements de Firefox et d'Opera s'envolent

Le malheur des uns. On connait la suite.

Après l'annonce d'un patch d'urgence, hier, Microsoft vient de préciser qu'il arriverait aujourd'hui, à 10 h du matin, heure Californienne (UTC -8).

C'est donc vers 19h, heure de Paris, que sortira cette mise à jour de sécurité qui comblera la faille qui a jeté Internet Explorer 6 dans la tourmente.

Le déferlement médiatique qui a suivi la découverte de l'implication du navigateur de Microsoft dans l'attaque chinoise contre Google a, en effet, été sans précédent.

Et il ne fait pas que des malheureux. Le "Blog of Metrics" de la Fondation Mozilla regroupe toutes les données chiffrées en rapport avec l'organisation. Il a noté un envol des téléchargements (+ 300.000 par rapport à un jour normal), notamment en Allemagne où les autorités ont recommandé d'abandonner IE pour un de ses concurrents.

De son coté, Opera, l'éditeur Norvégien, vient d'annoncer un doublement des téléchargements de son navigateur.

Tous ces utilisateurs reviendront-ils à Internet Explorer ?

Rien n'est moins sûr.

Ce qui l'est, en revanche, c'est que la mise à jour de Microsoft sera accompagnée d'un gros effort de communication pour colmater, non seulement la faille, mais aussi l'exode de ses utilisateurs.

Le patch de sécurité sera suivi à 13h (22h heure de Paris) d'un webcast pour répondre aux questions des internautes. Il sera accessible sur inscription préalable ici.

Source : Annonce de Microsoft

Et vous ?

Tous ces utilisateurs qui auront testé un autre navigateur reviendront-ils à Internet Explorer ?

MAJ de Gordon Fowler


20/01/10

Un patch pour Internet Explorer arrive en urgence
Pour tenter de mettre fin aux critiques qui s'abattent sur le navigateur de Microsoft


Rarement un navigateur - même Internet Explorer, pourtant habitué - aura connu autant de critiques.

Après les attaques chinoises contre Google, et la responsabilité reconnue du navigateur de Microsoft, les temps sont devenus très durs pour Explorer.

La France et l'Allemagne ont même été jusqu'à recommander de changer de navigateur. Une bien mauvaise publicité au moment de l'arrivée du "ballot screen" et de la campagne d'affichage massive de Chrome, le concurrent "made in" Google.

Les arguments de Bernard Ourghanlian directeur technique et sécurité chez Microsoft France dans le Nouvel Observateur d'hier (lire ci-avant) n'y ont rien fait. Bien au contraire.

Dans les minutes qui suivirent cet entretien où il affirmait que recommander de quiter IE était "effrayant", Symantec et Vupen Security pointaient des failles exploitées non seulement dans IE6 mais également dans IE7 et IE8.

"Compte tenu de la très grande attention générée par ce problème, de la confusion autour de ce que les utilisateurs doivent faire pour se protéger et de la montée en puissance du degré de menace de l'environnement, Microsoft réalisera une mise à jour de sécurité d'urgence pour colmater cette vulnérabilité", vient de réagir George Stathakopoulos de Microsoft.

Sans préciser toutefois la date de sortie espérée pour le patch.

De quoi sauver le Soldat Explorer fasse aux feux nourris sortant de toutes parts ?


Source : L'annonce du patch par George Stathakopoulos


MAJ de Gordon Fowler



19/01/10

"La faille d'Internet Explorer 6 est présente mais pas exploitable dans IE7 et IE8"
Répond Microsoft à ceux qui veulent abandonner son navigateur : qui croire ?


«Dans l'état actuel des choses, cette recommandation est inutilement effrayante. Aujourd'hui, Internet Explorer 7 et 8 ne posent pas de problèmes. Il n'est pas nécessaire de changer de navigateur. La faille présente sur la version 6 d'Internet Explorer, se retrouve dans les versions 7 et 8, mais n'est pas exploitable», vient d'affirmer Bernard Ourghanlian directeur technique et sécurité chez Microsoft France au Nouvel Observateur.

Sans préciser ce qu'était une faille qui existe mais pas exploitable...

Des affirmations immédiatement contredites par Vupen Security, qui publie dans la foulée un bulletin expliquant que cette faille est parfaitement exploitable.

Il n'en reste pas moins que changer de navigateur n'était qu'une partie des recommandations du CERTA.

Désactiver les scripts et naviguer avec un compte utilisateur aux droits limités étant les autres conseils à suivre.

Tous les navigateurs, précise le CERTA, ayant leurs failles de sécurité (y compris Firefox ou Chrome)

Symantec vient par ailleurs de publier un communiqué de presse dans lequel il affirme que la faille d'Internet Explorer est actuellement exploitée par le Trojan Hydraq.

Sans préciser plus avant quelles versions de Internet Explorer étaient concernées.

Qui croire ?


Source : L'interview de Bernard Ourghanlian au Nouvel Observateur, l'exploit démontré par Vupen Security, et le bulletin de Symantec


Et vous ?

Que pensez-vous qu'il faille (sans jeu de mot) faire : abandonner IE ou pas abandonner IE ?

MAJ de Gordon Fowler



Paris et Berlin recommandent de ne plus utiliser Internet Explorer
Suite aux cyber-attaques contre Google : Google utilise-t-il IE 6 en interne ?


C'est une des premières conséquences de l'affaire qui secoue ce début d'année : la sécurité d'Internet Explorer est - encore plus - au centre du viseur des médias IT.

Pour faire court, des pirates chinois ont utilisé une faille dans Internet Explorer 6, visiblement utilisé en interne chez Google (!!!), pour pénétrer le réseau et voler des informations sensibles (code source, informations sur des comptes G-mail), etc.

Microsoft a immédiatement reconnu l'implication de son navigateur. Honnêtement, c'est tout à son honneur. D'autant plus que la faille ne concerne pas que IE 6 mais aussi les versions 7 et 8 du navigateur de Redmond. Un patch d'urgence est donc en cours.

Mais l'aveu de Microsoft – qui répétons-le, était la chose à faire la plus responsable – vient de jeter la panique dans l'esprit des autorités Allemandes et Françaises.

Berlin (via le BSI) et Paris (via le CERTA) viennent purement et simplement de déconseiller l'utilisation d'Internet Explorer.

Le conseil d'utiliser un autre navigateur ravira certainement la concurrence mais elle ne règlera qu'une partie des problèmes de sécurité levés par cette histoire.

Le Centre d'expertise de réponse et de traitement des attaques informatiques le sait d'ailleurs très bien puisqu'il s'empresse de rajouter que changer de navigateur ne doit pas empêcher «de naviguer sur l'Internet avec un compte utilisateur aux droits limités et [de désactiver] l'interprétation de code dynamique (JavaScript, ActiveX, ...)».

Une question : après avoir banni Firefox de ses administrations au motif que seul IE 6 était sûr, avec quoi le gouvernement Wallon va-t-il bien pouvoir surfer ?


Source : La recommandation du Certa


Lire aussi :

Le Dossier Chine vs Google de Développez.com

Développement Web
Sécurité
Windows

Et vous ?

Recommandation excessive (cela aurait pu arriver avec n'importe quel navigateur) ou au contraire, pensez-vous qu'il faille abandonner IE ?

La part de marché d'Internet Explorer va-t-elle être impactée par cette histoire ?

Pensiez-vous que Google utilisait IE 6 en interne ? Cela vous fait-il peur ?

[FailMan]

C'est un peu excessif je trouve, chaque navigateur possède des failles, bien qu'IE 6 soit archaïque, je trouve que c'est un peu exagéré.

A mon avis, on aura beau faire ce qu'on veut, il y a beaucoup d'intranets et d'applications internes aux entreprises qui fonctionnent avec IE6. C'est un travail de titan que de vouloir faire passer tout le monde à IE7/8 ou sur un autre navigateur.

A vrai dire, ça ne m'étonnerait qu'à moitié que Google utilise IE6 en interne. Leurs solutions sont peut-être trop vieilles pour être utilisables sur Chrome.

[Marco46]

Ben voilà.

La voilà la raison de mettre à jour ses logiciels et de ne pas utiliser des Solex pour rouler sur l'autoroute, hein Souviron ?

Abandonner IE ? Moi je dirais oui mais ça serait pas honnête. Abandonner un IE non mis à jour par contre OUI. C'est une preuve de plus.

[dams78]

Ce genre d'annonces à mon avis s'annonce plus aux utilisateurs non avertis.
Une entreprise possède suffisamment de connaissances informatiques pour savoir quel navigateur utiliser, en revanche celui qui utilise IE parce que c'est installer avec l'ordinateur qui vient juste d'acheter, ça peut "lui faire peur" et le tenter à en utiliser un autre.

[berceker united]

Citation:

Envoyé par JohnPetrucci

C'est un peu excessif je trouve, chaque navigateur possède des failles, bien qu'IE 6 soit archaïque, je trouve que c'est un peu exagéré.

A mon avis, on aura beau faire ce qu'on veut, il y a beaucoup d'intranets et d'applications internes aux entreprises qui fonctionnent avec IE6. C'est un travail de titan que de vouloir faire passer tout le monde à IE7/8 ou sur un autre navigateur.

A vrai dire, ça ne m'étonnerait qu'à moitié que Google utilise IE6 en interne. Leurs solutions sont peut-être trop vieilles pour être utilisables sur Chrome.

Le problème n'est pas de critiquer IE 6 mais la réactivité de Microsoft et la polémique autour de Google et la Chine.

Moi je voudrais rebondie sur le faite qu'il y avait eu une news ou il y a un pays du nord qui à interdit tout autre navigateur que IE. Avec cette histoire ils doivent bien avoir l'air bête maintenant.

[Obligen]

Citation:

Envoyé par dams78

Une entreprise possède suffisamment de connaissances informatiques pour savoir quel navigateur utiliser

Ben justement pas, c'est le sujet.

[Caro-Line]

Certains semblent lire en diagonale :

Citation:

D'autant plus que la faille ne concerne pas que IE 6 mais aussi les versions 7 et 8 du navigateur de Redmond.

Il ne s'agit donc pas d'un problème de mises a jour ou non.
Il s'agit d'un problème avec IE (à ce qu'ils disent).

@berceker => Gordon a aussi mis le lien vers la news concernant nos amis du nord

[dams78]

Citation:

Envoyé par Obligen

Ben justement pas, c'est le sujet.

Comment ça?

Le titre c'est bien "Paris et Berlin recommandent de ne plus utiliser Internet Explorer", pour moi une entreprise (ayant un minimum de service informatique) n'a pas attendue les "experts" de Paris et Berlin pour choisir leur navigateur.
Ce qui n'est pas le cas du commun des mortels, donc je pense qu'une telle annonce aura plus d'impact sur les "non-informaticiens" que sur les entreprises.

[DoubleU]

Tu crois que le commun des mortels lit les bulletins de sécurité du CERTA

[FailMan]

Citation:

Envoyé par berceker united

Le problème n'est pas de critiquer IE 6 mais la réactivité de Microsoft et la polémique autour de Google et la Chine.

Non, je suis d'accord mais :

Citation:

Envoyé par Gordon Fowler

Recommandation excessive (cela aurait pu arriver avec n'importe quel navigateur) ou au contraire, pensez-vous qu'il faille abandonner IE ?

Ce à quoi je réponds :

Citation:

Envoyé par JohnPetrucci

C'est un peu excessif je trouve

et :

Citation:

Envoyé par Caro-Line

Certains semblent lire en diagonale

Il ne s'agit donc pas d'un problème de mises a jour ou non.
Il s'agit d'un problème avec IE (à ce qu'ils disent).

Un patch va sortir apparemment, donc ça comblera cette faille, sachant qu'IE7 et IE8 sont plus sûrs qu'IE6 (apparemment), il est quand même utile de faire la mise à jour vers la version la plus récente d'iExplore

[dams78]

Citation:

Envoyé par DoubleU

Tu crois que le commun des mortels lit les bulletins de sécurité du CERTA

C'est pas faux...

Moi j'ai lu la news ce matin dans google actualité, j'ai pas fais gaffe sur quel média elle était diffusée.

[gtraxx]

Citation:

après avoir banni Firefox de ses administrations au motif que seul IE 6 était sûr

Une personne peu m'expliquer cette phrase car la bannir firefox c'est très fort
Est ce suite à la faille de sécurité que microsoft avais introduit via une extension ?

[Gordon Fowler]

Citation:

Envoyé par gtraxx

Une personne peu m'expliquer cette phrase car la bannir firefox c'est très fort
Est ce suite à la faille de sécurité que microsoft avais introduit via une extension ?

Salut,

Le lien vers cette histoire est dans la news.

Je te le redonnes :

http://www.developpez.net/forums/d82...annit-firefox/

Cordialement,

Gordon

[umeboshi]

Citation:

Recommandation excessive (cela aurait pu arriver avec n'importe quel navigateur) ou au contraire, pensez-vous qu'il faille abandonner IE ?

Les failles sont plus facilement exploitable sous IE, puisque Microsoft met plus de temps à proposer un patch ou une mise à jour de correction, de là à interdire IE c'est un peu abusé. Je n'aime pas IE, mais au moins grâce à lui, les autres navigateurs se font moins attaquer (moins populaires, moins de failles)

Citation:

La part de marché d'Internet Explorer va-t-elle être impactée par cette histoire ?

Seul le futur nous le dira

Citation:

Pensiez-vous que Google utilisait IE 6 en interne ? Cela vous fait-il peur ?

Au moins pour tester la compatibilité de leurs services sur tous les navigateurs.

Finalement, il faut :
- soit continuer de faire évoluer le web et résoudre nouveaux les problèmes liés
- soit n'autoriser que les sites HTML statiques, sans javascript ni plugins et refuser de faire du business en ligne...

[Obligen]

Citation:

Envoyé par dams78

Comment ça?

Le titre c'est bien "Paris et Berlin recommandent de ne plus utiliser Internet Explorer", pour moi une entreprise (ayant un minimum de service informatique) n'a pas attendue les "experts" de Paris et Berlin pour choisir leur navigateur.
Ce qui n'est pas le cas du commun des mortels, donc je pense qu'une telle annonce aura plus d'impact sur les "non-informaticiens" que sur les entreprises.

Le sujet, c'est que Google utiliserait IE6 en interne, ce qui a été la source de leurs problèmes d'attaques. Donc considérant que Google est une entreprise responsable, ça ne les empeche pas d'utiliser IE6

En fait, pas mal de grosses boites font ca. Généralement parce que beaucoup de leurs applications ne sont compatibles qu'avec IE6 (car applications datant d'avant les années 2000, et conséquence du paradygme informatique récurent : "tant que ça marche, tu touches pas").

[danielhagnoul]

Bonsoir.

Citation:

Envoyé par Caro-Line

@berceker => Gordon a aussi mis le lien vers la news concernant nos amis du nord

Cessons de tirer sur les ambulances, même à coups de louche !

Que ceux qui se plaisent, pour un Himalaya de bonnes raisons — disent-ils, à jouer à la roulette russe n'obligent pas les autres à les imiter !

Il serait temps de favoriser les navigateurs performants et d'arrêter la production de rustines pour conserver les « morts-vivants. »

[trenton]

Ils en ont parlé ce matin sur France 2.

Pourtant les failles c'est pas nouveau, et ça concerne pas que IE, mais aussi d'autre logiciels bien plus utilisés, comme Flash par exemple (mais là personne n'en parle)....

Et pile au même moment, on a pour la première fois de la pub pour un navigateur dans le métro.... Simple coïncidence ??? En plus, la société à l'origine du bruit et du navigateur sont les mêmes... étrange...

[FailMan]

Citation:

Envoyé par trenton

Ils en ont parlé ce matin sur France 2.

Pourtant les failles c'est pas nouveau, et ça concerne pas que IE, mais aussi d'autre logiciels bien plus utilisés, comme Flash par exemple (mais là personne n'en parle)....

Et pile au même moment, on a pour la première fois de la pub pour un navigateur dans le métro.... Simple coïncidence ??? En plus, la société à l'origine du bruit et du navigateur sont les mêmes... étrange...

Le gros complot visant notre perte par l'enregistrement de toutes nos données privées
Comme si quelque chose sur internet était privé

Les publicités pour Chrome était déjà imprimées bien avant cet incident. Il n'y en a pas que dans le métro, mais aussi dans les revues etc. etc., elles ont été pensées, des mois à l'avance, et imprimées également des semaines à l'avance, les failles sont là, elles amènent de l'eau à leur moulin, c'est qu'une coïncidence... Et même si ça en était pas une, c'est un beau coup de com'/marketing, et alors ?

[trenton]

Citation:

Envoyé par JohnPetrucci

Le gros complot visant notre perte par l'enregistrement de toutes nos données privées
Comme si quelque chose sur internet était privé

Les publicités pour Chrome était déjà imprimées bien avant cet incident. Il n'y en a pas que dans le métro, mais aussi dans les revues etc. etc., elles ont été pensées, des mois à l'avance, et imprimées également des semaines à l'avance, les failles sont là, elles amènent de l'eau à leur moulin, c'est qu'une coïncidence... Et même si ça en était pas une, c'est un beau coup de com'/marketing, et alors ?

Tu dis des trucs, et alors ?

[FailMan]

Citation:

Envoyé par trenton

Tu dis des trucs, et alors ?

Tes allusions n'ont aucun intérêt.
Le but de Google, est comme toute entreprise, faire des bénéfices.
Que ton moyen soit plus ou moins loyal pour la concurrence, on s'en tape, ce qui compte c'est ce qui rentre.