Le très sérieux US-CERT, qui dépend du ministère américain de la sécurité intérieure (Department of Homeland Security, bidule créé lors des attaques terroristes de septembre 2001) sort un avis sur la protection des ordinateurs suite aux récentes et multiples vulnérabilités de Microsoft Internet Explorer. On y lit en particulier une liste d'actions à mettre en oeuvre pour limiter les dangers de cyber-attaques :

  • Désactiver Active Scripting et ActiveX
  • Mettre à jour Outlook avec ses rustines de sécurité
  • Lire et envoyer des emails en texte seulement (par opposition aux mails en HTML)
  • Mettre à jour son anti-virus
  • Ne pas cliquer sur les liens qu'on vous envoie.
  • Utiliser un autre navigateur Web.

Quelques précisions suivent ce point :

Il y a plusieurs vulnérabilités dans les technologies utilisant le modèle de sécurité d'IE, son modèle DHTML, sa méthode de détermination de type MIME et ActiveX. Il est possible de réduire l'exposition à de telles vulnérabilités en ayant recours à un navigateur Web alternatif, tout particulièrement lorsqu'il s'agit de naviguer sur des sites inconnus. Une telle décision peut toutefois réduire les fonctionnalités des sites qui nécessitent des fonctionnalités spécifiques à IE comme DHTML, VBScript et ActiveX. Il faut noter que l'utilisation d'un autre navigateur Web ne retire pas Internet Explorer des machines Windows et que d'autres programmes peuvent invoquer IE, le contrôle ActiveX WebBrowser ou son moteur de rendu HTML (MSHTML).

Bref, permettez-moi un raccourci forcément partial (vu mon implication dans les standards du Web et dans les navigateurs Libres), qui est une interprétation toute personnelle de ce que dit le US-CERT :

  • Si vous avez une machine Windows, même avec Firefox, Mozilla 1.7 ou Opera (et pire encore avec AvantBrowser et MyIE2, qui utilisent le moteur Microsoft), vous n'êtes pas totalement en sécurité.
  • Si vous avez eu recours à des technologies propriétaires Microsoft pour réaliser votre site, vous êtes cuits.

Bon, maintenant que j'ai mis à jour mon antivirus et mon Windows, que je n'utilise pas plus mon IE que mon Outlook, et que j'ai toujours été plus favorable aux mails Texte, je vais retenter une installation d'une Distribution Linux sur mon Centrino. A bientôt !

Mise à jour : Le magazine sur la sécurité CSO titre Microsoft : comment souhaitez vous succomber aujourd'hui ?. J'ai préféré ne pas en faire un article, on aurait encore pu m'accuser d'avoir été partisan !