C'est Glazou qui me l'a signalé, on parlait sécurité des navigateurs dans le journal du matin de France 2.
Le présentateur :
Il devait être une porte sur le monde pour les ordinateurs, en réalité il est devenu une porte pour les pirates dans les ordinateurs. Le logiciel Internet Explorer — l'un des plus utilisés — a une faille et apparemment c'est suffisamment grave pour que la France et l'Allemagne aient décidé de lancer une alerte. Les deux pays recommandent de ne plus utiliser ce logiciel tant que le constructeur n'aura pas résolu ce problème.
Voix off du sujet :
Un logo célèbre, un nom connu de tous, Internet Explorer le navigateur le plus exploité au monde aujourd'hui déconseillé parce que dangereux. C'est le centre d'expertise gouvernemental, un organisme spécialisé dans les attaques informatiques qui met en garde. Le CERTA diffuse depuis vendredi ce bulletin d'alerte : "Une vulnérabilité permet à une personne malintentionnée d'exécuter du code arbitraire à distance." Autrement dit, une faille dans la sécurité affecte le navigateur. Une faille à l'origine de l'attaque contre Google en Chine. Des militants des droits de l'homme et des journalistes notamment ont ainsi eu leur messagerie piratée. Les autorités allemandes déconseillent elles aussi d'utiliser Internet Explorer et préconisent l'utilisation d'un autre logiciel. Un coup du pour le géant mondial Microsoft, qui tente actuellement de résoudre ces problèmes, un coup dur au moment même où la firme commence à souffrir de la concurrence de nouveaux navigateurs.
Les autres publications se font aussi état de la chose :
- JDD : Alerte sur la vulnérabilité d'Internet Explorer ;
- Le Monde : La France et l'Allemagne déconseillent l'utilisation d'Internet Explorer ;
- CERTA : Vulnérabilité dans Microsoft Internet Explorer ;
- NetEco : IE pointé du doigt par la France et l'Allemagne ;
- ZDNet : La France et l’Allemagne recommandent de ne pas utiliser Internet Explorer ;
- Internet Explorer déconseillé ;
- LCI : La France et l'Allemagne boudent Internet Explorer ! ;
- Le Figaro : Paris et Berlin déconseillent Internet Explorer.
A quelques semaines de l'écran de choix des navigateurs qui sera présenté à tous les utilisateurs de Windows, c'est une très mauvaise nouvelle pour la firme de Redmond. Alors que les utilisateurs devront choisir parmi 5 logos de navigateurs affichés, peut-être hésiteront-ils à cliquer sur le E bleu marqué du sceau de l'infamie suite à cette faille hautement médiatique.
On notera toutefois — comme je l'ai déjà dit — que la faille de sécurité 0 day aurait pu toucher n'importe quel navigateur. Aucun éditeur n'est à l'abri de ce genre de choses, qu'il soit libre ou propriétaire. Tous les logiciels complexes ont des bogues. Tous. Sans exception. Là où l'on va pouvoir juger de la sécurité d'Internet Explorer n'est pas en les pointant du doigt pour cette faille 0 day, c'est en chronométrant le temps de réaction de Microsoft. Combien de temps leur faudra-t-il pour corriger cette faille qui touche plusieurs centaines de millions d'utilisateurs ?
43 réactions
1 De Hardt - 19/01/2010, 11:54
Ce qui est inquiétant c'est également que cette faille serait présente depuis la v6 d'IE d'après ce que j'ai entendu dans un autre reportage.
2 De Laurent - 19/01/2010, 12:02
Bonjour
les failles sous ie ce n'est pas nouveau, pourquoi celle là plus que les autres ?
3 De samuel - 19/01/2010, 12:08
Suis-je le seul couillon à avoir appuyé sur l'image en croyant lancer une vidéo ?
Les créateurs de phishing ont encore un bel avenir avec moi
4 De philippe - 19/01/2010, 12:11
Les gouvernements demanderont-ils à Microsoft de supprimer IE de Windows et de ne laisser que les alternatives préinstallé ? Ce serait ironique
5 De Gui13 - 19/01/2010, 12:22
Et si...
Et si c'était pas justement une manœuvre de Google pour discréditer le plus gros concurrent à quelques semaines de l'introduction de cet écran de choix?
Franchement, cette faille n'aurait pas eu le retentissement qu'elle a eu si ca n'avait pas été parce que Google en a fait les frais (en a-t-il vraiment fait les frais d'ailleurs?).
Ça semble tellement providentiel, toute cette agitation, que c'en est troublant...
6 De ThomasD - 19/01/2010, 12:25
Euh!!! je ne comprends pas trop...
Ce n'est quand même la première fois qui faille de ce type est découverte dans IE. Pourquoi s'en inquiéter aujourd'hui...
7 De julien - 19/01/2010, 13:03
Ce qui m'étonne c'est pourquoi maintenant ? pourquoi ne pas avoir émit d'alertes plus tôt (sur tout navigateur)
car oui tout programme peut avoir (a surement) un défaut.
les questions sont :
quand va t on s'en apercevoir, quand et comment les failles seront elle publiés (voir les problèmes actuel de full disclosure) et surtout :
combien de temps l'utilisateur est il exposé a une menace avant que l'éditeur ne corrige le programme ?
pour plus d'infos
http://sebsauvage.net/rhaa/index.ph...
http://sebsauvage.net/rhaa/index.ph...
8 De antistress - 19/01/2010, 13:35
à mettre en perspective avec ton précédent billet : "La révélation publique de failles de sécurité est un délit" http://standblog.org/blog/post/2009... : moi je préfère savoir !
9 De IE6 - 19/01/2010, 13:35
Et si on est sous Windows 2000, on a pas d'autres choix... que d'utiliser Firefox
10 De Manu - 19/01/2010, 13:42
En tant que webdesigner, ce genre de nouvelle provoque chez moi cette réaction : http://www.gifsmaniac.com/gifs-anim...
11 De TomBay - 19/01/2010, 14:06
Bonjour Tristan, et bonjour à tous les lecteurs du standblog,
je suis passé ici aujourd'hui justement à cause (grace...) de l'alerte sur ie relayée un peu partout (je l'ai vue sur 20 min).
J'ai profité de celle-ci pour faire passer ma femme d'ie à Firefox sur son pc, le mien y étant déjà depuis un moment. Du coup je me suis demandé quel serait l'effet sur les stats de téléchargement des autres navigateurs, et comme j'aime bien avoir l'info proche de la source je me suis dit "va demander à Tristan Nitot, même si il n'est pas mozilla il doit avoir l'info...".
Alors?
TomBay
ps: c'est mon premier commentaire ici, j'avais découvert le standblog par l'intermédiaire du blog d'Eolas, j'aime assez bien ce que j'y lis; alors merci Tristan!
12 De nilux - 19/01/2010, 15:09
Dommage que les médias ne s'en mêlent que maintenant, alors que Google vient de lancer sa campagne
de lavage de cervde publicité pour Chrome. Un mauvais timing qui incitera pas mal de monde à passer sur le navigateur qu'ils ont vu dans le metro plutôt que sur un des nombreux navigateurs réellement libres.13 De Ici ou Ailleurs - 19/01/2010, 15:40
Hum... Il doit y avoir un beau cabinet de lobbying derrière tout ça.
Le marché du navigateur est en train de s'ouvrir au forceps, et ça vient plutôt "d'en haut."
14 De Dom75 - 19/01/2010, 15:52
Et si c'était une stratégie de l'UE (Allemagne et France comme par hasard) pour décrédibiliser IE, une autre bataille dans la guerre Microsoft/UE?
15 De Nico - 19/01/2010, 15:55
Cette histoire fait écho en Suisse aussi : La France et l'Allemagne déconseillent l'utilisation d'IE...
http://www.20min.ch/ro/multimedia/s...
J'ai aussi vu un article dans l'édition papier.
M'est d'avis qu'il faudrait observer les parts de marché des navigateurs...
16 De Benoît Pruneau - 19/01/2010, 15:58
@Hardt @julien @ThomasD:
Cette faille a été découverte il y a peu de temps. Y a beaucoup de code dans Internet Explorer... Il y avait d'autres failles, colmatées aujourd'hui. Mais cette faille est celle par laquelle une organisation bien structurée a piraté des comptes Google de chinois prônant la liberté de presse et qui a causé le scandale de Google en Chine. Ce n'est pas assez sérieux pour qu'on en parle, ça ?
@Gui13:
Microsoft a reconnu qu'il y avait une faille dans Internet Explorer. S'il ne l'avait pas reconnu, les journaux en auraient pas parlé, puisqu'il ne s'agirait encore à ce moment-là d'allégations de Google.
17 De christophe - 19/01/2010, 16:20
Juste pour se détendre, l'illustration du billet traitant de "la chose" sur le site Journal du Geek
Sinon il est bon de rappeler qu'aucun logiciel n'est à l'abri de ce type de problème, et que c'est la réactivité des correcteurs qui fait toute la différence.
Et c'est là dessus que le modèle de développement Open Source sort gagnant.
18 De cebru - 19/01/2010, 16:23
Internet Explorer 6, 7 et 8 sont vulnérables... une faille critique non corrigée... signalée fin 2007
Seulement 2/3 des utilisateurs de navigateurs internet sont exposés à cette menace révélée depuis à peine plus d'un an ; mais oui, pourquoi tant d'affolement ? Les moins kamikazes d'entre eux sont invités dès à présent à tester un autre navigateur de leur choix : Chromium, Firefox, Opera, etc.
19 De Lio - 19/01/2010, 17:35
C'est pas encore pour aujourd'hui la remise en question...
IE 8: Les faits.
20 De christian - 19/01/2010, 18:24
discussion de petits vieux ce matin: et nous qu'est ce qu'on a comme navigateur? ben Firefox, Ouf!!!
Moralité j'aurais pu installé aussi Linux, elle n'aurait vu que du feu, le principal pour mon épouse était que
ça marche.....
21 De Dd - 19/01/2010, 18:33
Quelqu'un a reussi à récupérer la vidéo ? Impossible de la récupérer sur le site officiel, sur la page http://telematin.france2.fr/?page=A... le lien est foireux...
22 De lowje - 19/01/2010, 19:02
"un coup du pour le géant mondial Microsoft"
Un oublie de lettre je pense.
23 De deuxnielle - 19/01/2010, 19:13
@samuel
Non, rassure-toi le club des couillons recrute encore : je viens de me faire embaucher !!
24 De Tristan - 19/01/2010, 19:22
@Christophe : je crois que je suis l'auteur de la-dite illustration ! Mais c'était il y a longtemps (il y a prescription).
25 De christophe - 19/01/2010, 19:54
@Tristan : J'ignorais que l'illustration était de vous, mais la preuve est donnée par l'actualité qu'il n'y a pas prescription.
26 De iwjcg - 19/01/2010, 20:26
Sur Antenne 2 c'est service minimum ,ils n'ont pas conseillé , tel ou tel navigateur alternatif ,laissant l'internaute moyen avec ses doutes filer chez Auchan acheter l'anti virus qui.....
Tout ça est minable d'abord parce que les failles il y en aura toujours ensuite parce que celles la elles datent de Mathusalem et enfin que par destination IE est une passoire a SPAM afin d'abreuver l'utilisateur de bonnes pubs !
La seule question est celle ci :dans quel but cette agression ? et ça ça n'entre pas dans le débat !
27 De ran - 19/01/2010, 20:32
TeX est considéré par son auteur comme exempt de bogue ; n'est pas Donald Knuth qui veut ^_^
28 De Ishido - 19/01/2010, 21:22
@#21
Ca m'intéressait aussi.
Voici comment faire :
Dans un shell, coller
mplayer -dumpstream mms://a988.v101995.c10199.e.vm.akamaistream.net/7/988/10199/3f97c7e6/ftvigrp.download.akamai.com/10199/cappuccino/production/publication/France_2/Autre/2010/S03/88369_dynamo_telematin_20100119080032.wmv -dumpfile 88369_dynamo_telematin_20100119080032.wmv
Ca commence a 9'18''
29 De NicoM - 19/01/2010, 22:29
Info à voir sous deux angles à mon avis.
1 - Enfin une possibilité de se débarrasser d'IE ! Ouf !
2 - Les médias bouffent vraiment tout ce qu'on leur donne. Aucun article ni reportage ne semble avoir le recul nécessaire pour traiter ce sujet. Seuls quelques commentaires d'internautes semblent avoir des doutes sur le hasard de la survenue de cet évènement qui tombe pourtant fort à propos pour Google. Pourquoi s'agiter maintenant ? Cette faille existe depuis le début d'IE6. La puissance de nuisance des médias et l'absence de doutes sont encore une fois évidents. Que se passerait-il si tout à coup Microsoft décidait de dire qu'il a été piraté à cause d'une faille de Firefox ? Là on rigole, et certains jubilent, car il s'agit d'IE, mais les médias pourraient tout aussi bien s'en prendre à Firefox ou même Chrome, le moindre petit scoop étant comme un steak lancé à une meute de loups affamés. Réfléchissons, à qui peut bien profiter le crime ? Google, l'UE ? Certains donnent comme raison pour que cette faille soit plus médiatisée que d'autres le fait que cela a permis l'arrestation de dissidents chinois. Depuis quand fait-on grand cas de ces dissidents ? Ah oui, pardon, le monde entier lute contre le système chinois, j'avais oublié. On est pas des hypocrites au point de les laisser faire et signer plein de contrats juteux avec... non, non.
30 De habana - 19/01/2010, 23:36
@samuel +1
31 De Whereismymind - 19/01/2010, 23:50
On en reparle quand la faille sera colmatée ; à la sortie d'IE 18
Plus sérieusement, comme dit plus haut, ce qui compte c'est la réactivité de Microsoft et j'ai aussi entendu dire que cette faille grave (et connue) est la depuis IE6, et donc sûrement exploitée de nombreuses fois déjà ...
32 De Christophe - 20/01/2010, 08:05
Ce problème de "bug" ne peut pas arriver à Chrome : il est écrit "zero bug" dans la publicité de Google ... (Si il faut croire tout ce qu'on vous dit ma pov'dam)
33 De Gut - 20/01/2010, 08:21
J'ai du mal à saisir, Google utilise IE 6 !!!! Comme version de test, je dit pas, mais comme navigateur principal sur un windows avec des droits administrateurs ... Ils ont au moins 2 navigateurs +/- promus par leur boîte: Firefox et Google Chrome.
J'arrive pas y croire, et c'est l'une des boîtes qui connaissent le mieux le web ??
Ou, c'est juste pour faire parler de Google chrome sur les grandes chaines avant l'arrivée de l'écran multi-choix pour les navigateurs dans Windows?
34 De Ellendhel - 20/01/2010, 10:08
Ce qui est assez particulier dans cet histoire, c'est que des recommandations du CERTA (et probablement du BSI en Allemagne) tombent toutes les semaines où il est régulièrement conseillé d'utiliser des produits alternatifs à Internet Explorer, Adobe Reader et quelques autres "grands noms".
Donc l'alerte en elle même n'a rien de particulier. Ce qui m'étonne c'est que tout ça soit arrivé jusqu'aux oreilles des médias et que cela finisse au journal télévisé.
Mais bon, si cela peut inciter plus de gens à ce soucier de leur sécurité informatique et à se tourner vers les logiciels libres, ce sera une bonne chose.
35 De JM - 20/01/2010, 13:54
J'aime bien la réaction du porte-parole de Microsoft rapportée dans l'article de 20min.ch (http://www.20min.ch/ro/multimedia/s...) :
«Le problème ne concerne pas les tous les utilisateurs en général», se défend Microsoft par la voix de Thomas Baumgaertner, porte-parole du groupe informatique en Allemagne. «Les attaques contre Google ont été faites par des personnes très motivées ayant un objectif spécifique. Il ne s’est pas agi d’une attaque globale contre les utilisateurs ou les consommateurs» a-t-il déclaré. «Il n’existe pas une menace diffuse contre l’utilisateur lambda, par conséquent nous ne soutenons pas cet avertissement», a-t-il ajouté.
Avec 100 à 200 millions de machines vérolées sur Internet et vraisemblablement 90% des réseaux d'entreprise atteints (devinez quel OS), c'est quand même gonflé ! Tout ceci me rappelle qu'un article anglophone de 2003 titrait déjà quelque chose comme « Windows, Internet Explorer, ActiveX, le trio infernal pour la sécurité ». 7 ans après, la situation est bien pire contrairement à ce qu'ils voudraient nous faire croire. Avec le reportage sur les pirates informatiques dans Envoyé spécial et cette information sur France 2, on peut espérer qu'enfin on commence à porter l'affaire sur la place publique, mais ce sera toujours 7 ans de perdus car la sécurité d'Internet, c'est l'affaire de tout le monde…
36 De jblanche - 20/01/2010, 13:59
Est ce qu'on en sait un peu plus sur cette fameuse date à partir de quand les utilisateurs se verront proposer le choix de leur navigateur ?
37 De Youpitagada - 20/01/2010, 14:08
Un bon article également sur Ecrans.fr (site de Libération) traitant de la faille : ici.
38 De Tristan - 20/01/2010, 15:14
@Christophe : je viens de retrouver le fichier original : http://standblog.org/dc-blog/public... . Dans l'interface d'admin, il est daté du 1/1/2007. Depuis, je mets mes photos sur Flickr plutôt que sur le Standblog.
39 De Brieuc - 20/01/2010, 19:42
Je pense que le pire dans les journaux télévisé, c'est qu'ils nous disent que IE c'est pas bien en ce moment à cause d'une faille. Mais aucune information sur "Comment continuez à parcourir le web si on utilise pas Internet Exploreur".
Il faudrait peut etre mettre au courrant les gens que de "Ne pas utiliser Internet Exploreur" ce n'est pas "Arretter de se servir d'Internet", mais qu'il existe des alternatives et les citer (Firefox, Google-chrome au moins, je pense que ce sont des noms qui parle aux gens qui ne s'y connaissent pas).
40 De EonKnight - 21/01/2010, 10:55
Le timing est étrange tout de même : lancement de la campagne pour Chrome et quelques jours plus tard faille surmédiatisée de IE.
Et si google avait fait une étude de coûts ?
Combien me coûte de titiller le gouvernement chinois ? En échange : retour de l'image de chevalier blanc et un sérieux coup de pouce au moment où l'Europe se demande si elle va utiliser Chrome.
41 De Jean - 21/01/2010, 11:38
Il faut quand même une sacrée dose de "corruptibilité" pour que deux états fassent un tel tintouin sur une faille comme ça. Alors que c'est une faille qui a été exploitée par des experts de haut niveau pour attaquer des ordinateurs archi-ciblés.
Mais bon, on le sait, l'UE n'aime pas Microsoft, elle n'aime que l'argent que la firme lui rapporte.
42 De Tristan - 21/01/2010, 12:44
@Jean : non, vous faites fausse route. Le CERTA fait ce genre d'alerte à chaque faille de sécu, aussi pour Firefox et les autres. Ce qui est nouveau, c'est la tempête médiatique, qui est due au contexte des rapports entre Google et la Chine.
@EonKnight : je n'y crois pas. Par contre, il est évident que Google a bien travaillé son message pour présenter l'histoire sous un jour favorable, et c'est "normal". Enfin.. disons "habituel". Toutes les boites font ainsi.
43 De Jean - 21/01/2010, 13:03
@Tristan : OK admettons, et certes, les tensions actuelles entre Google et la Chine ont évidemment joué un rôle. Mais de là à faire une surmédiatisation d'une faille qui est ni plus ni moins une faille comme une autre, il faut quand même se demander à qui profite le crime.
Ensuite, et cette fois à la décharge de Google, si les hackers ont réussi - paraît-il - à apercevoir les sujets de mails de certains utilisateurs (mais sans aller plus loin, ce qui semble curieux), c'est tout simplement parce que la sécurisation absolue n'existe en réalité pas. Potentiellement, tout est crackable, c'est juste une question de savoir-faire et de patience. Google n'est pas non plus à l'abri d'un mot de passe trop faible côté utilisateur (ce qui, dans ce cas, ne serait pas très malin de la part de ce dernier).
Mais même avec un mot de passe archi tordu, tout le monde peut se faire hacker. Seule l'échéance est a priori plus lointaine que si vous choisissez "123456" comme password.