Connaissez-vous ChicXulub ? Avec un nom pareil, on pourrait croire à une tombe aztèque ou à un club privé basque. Ca n'est ni l'un ni l'autre. Chicxulub est le nom du cratère situé dans le Yucatan, au Mexique, qui aurait provoqué la mort des dinosaures. Plus précisément, c'est l'impact laissé par la météorite tombée il y a 65 millions d'années qui, par les perturbation climatiques engendrées, a fait disparaître à la fin du crétacé, tous les animaux de plus de 25 kilos. Adieu tyrannosaure et autres stégosaures !

Normalement, le lecteur du StandBlog doit à ce moment-là se demander pourquoi cet article est dans la rubrique Navigateurs. Allez, un indice : Microsoft. Rah, non, pas encore Microsoft et les trous de sécurité ! Bah si. Mais pour vous donner (aussi) des bonnes nouvelles ! Microsoft a réagit et va proposer une modification du comportement d'Internet Explorer. Ils ont compris ! (normalement, à cet instant, la foule s'exclame Aaaahhhhh !). Mais on a trouvé deux autres gros trous de sécurité... Oooohhhhhh !. La bonne nouvelle, c'est qu'ils vont embaucher, chez Microsoft, dans l'équipe Internet Explorer. Enfin, ils devraient.

Faisons le tour de ces deux nouveaux trous de sécurité :

  • Le premier bug permet de construire des dossiers qui, quand ils sont ouverts par l'utilisateur, peuvent exécuter du code sur la machine. Solution à ce jour : aucune, à part ne pas ouvrir les dossiers sur votre machine dont vous n'êtes pas certains (ça va être facile, ça :-)
  • Le second bug est intéressant, dans la mesure où il permet de trafiquer l'extension d'un fichier téléchargé. Je m'explique : sur un site Web, vous pensez télécharger un fichier PDF ou TXT, formats a priori inoffensifs. Mais en fait, vous téléchargez un .EXE, un executable, qui se lance quand on cherche à l'afficher. Et PAF, votre système est maintenant contrôlé par le logiciel malin que vous avez lancé sans le savoir.

Je me souviens d'une démonstration faite par Scott McNealy, le patron de Sun Microsystems. Un démo faite sur Windows, pour une fois, où en visitant un site avec IE/win, l'ordinateur se met soudain à ouvrir le tiroir du lecteur de CD en annonçant voici de quoi poser votre tasse de café. En arrière plan, le programme pirate fouinait dans les fichiers de MS-Money et mettait dans la liste des ordres bancaires en attente, un virement vers un compte aux Bahamas. J'en avais froid dans le dos.

Réponse des sceptiques parmi les lecteurs du StandBlog : Ah oui, mais je ne télécharge pas de fichiers de sites que je ne connais pas. Certes, je veux bien l'admettre. Mais des sites que vous croyez connaître ? Souvenez-vous qu'on peut faire croire à un utilisateur d'IE/Win qu'il est sur le site de sa banque alors qu'il n'y est pas (les victimes de l'arnaque de Banco Popular peuvent en témoigner). Bref, quand vous visitez un site avec Internet Explorer, vous n'êtes pas certain qu'il est celui que vous croyez. Quand vous télécharger un document, vous n'êtes pas certains de ne pas être en train de vous faire pirater, à moins d'utiliser un navigateur plus sécurisé, comme Opera ou une variante de Mozilla. Les outils comme MyIE2 et AvantBrowser, utilisant le moteur d'IE/Win, sont aussi vulnérables que le navigateur de Microsoft.

Je retourne le couteau dans la plaie de la sécurité parce que cela me paraît essentiel. Soyons clairs : il y a déjà eu des trous de sécurité dans Mozilla (tout comme dans Opera). Il est probable qu'il y en aura encore. C'est normal. Nous travaillons d'arrache-pied à ce que notre navigateur fétiche soit le plus sécurisé possible. Mais surtout, le modèle de sécurité, et la démarche qui accompagne les développeurs depuis le début, c'est de ne pas sacrifier la sécurité à la facilité d'utilisation. Enfin, coté réactivité, avec une sortie de version majeure tous les trimestres, la supériorité par rapport à Microsoft n'est plus à démontrer.

Mais au fait, quel rapport avec Chicxulub ? C'est InfoWorld qui m'y a fait penser. Un article intitulé : Un nouveau trou (de sécurité) d'Explorer pourrait être dévastateur révèle qu'un expert en sécurité, Georgi Guninski, avait révélé à Microsoft un problème de sécurité semblable. C'était en avril 2001, (presque 3 ans), et la rustine n'est jamais sortie. Cela fait dire à InfoWorld qu'il n'est pas possible de résoudre ce problème, compte tenu du fonctionnement d'Internet Explorer, et cela met certainement un gros point d'interrogation sur la fiabilité d'Internet Explorer en tant que navigateur. Alors, si ce ou ces trous de sécurité étaient ce qui faisait disparaître le dinosaure IE/Win, faisant passer, comme le météorite de Chicxulub, de la période du Crétacé à celle du Tertiaire ? Et si notre lézard, faisant moins de 25 kilos, était l'un de ces rares survivants ?