Il y a 3 semaines environ, déboulait l'attaque SCOB / Download.Ject, un machin monstrueux qui a entamé plus encore la réputation d'Internet Explorer.

Depuis, Microsoft a fait une mise à jour de sécurité, sans pour autant bloquer SCOB ! Evidemment, ça râle chez les spécialistes de la sécurité :

Nous espérions que Microsoft corrige ces vulnérabilités dans son navigateur, ce qu'il n'a pas fait, déplore-t-on au Cert-IST, centre de veille informatique français réservé aux grandes entreprises. Nous appelons donc toujours les entreprises à utiliser une alternative à Internet Explorer, poursuit un porte-parole.

ZDNet écrit Contrairement aux voeux des experts en sécurité, Microsoft n'a toujours pas jugé utile de corriger les failles d'Internet Explorer exploitées en juin par le cheval de Troie Scob (alias Download.Ject). Sa série de patchs pour juillet, qu'il vient de publier, corrige sept nouvelles vulnérabilités, mais pas celles attendues. Je suis certain que Microsoft a fait son possible pour tenter de corriger la faille. Après tout, l'enjeu est phénoménal (plusieurs centaines de millions de machines sont concernées). Mais voilà, pas facile de corriger Internet Explorer... Soyons clairs : Microsoft n'est ni incompétent ni inconscient. C'est juste que Microsoft ne peut pas corriger Internet Explorer rapidement. J'ai déjà parlé de cela. Mieux, Robert Scoble, employé Microsoft, l'explique très bien :

Bon, passons maintenant à ces fichus problèmes de sécurité. Ils sont pénibles à résoudre. Bien plus pénibles qu'on pourrait croire, vu de l'extérieur. Pourquoi ? Parce que le moteur d'Internet Explorer est utilisé dans plusieurs systemes d'exploitation. Des douzaines de langues différentes. Des milliers d'applications différentes. Changer une ligne de code dans les tréfonds de Windows signifie potentiellement d'empêcher le bon fonctionnement d'un grand nombre d'applications. C'est inacceptable pour l'équipe. Ainsi, quand ils changent des choses, ils doivent le faire sans rien casser chez les clients.

Mais revenons à l'avis du Cert-IST (centre de sécurité français) et à leur avis sur la question (Fichier PDF) :

Sans rentrer dans la querelle logiciel libre vs Microsoft, et en prenant acte de la nécessité d'installer Internet Explorer pour accéder aux applications d'entreprise telles que SAP, l'utilisation temporaire d'un autre navigateur qui cohabite parfaitement avec IE sur le même poste peut être un palliatif à la situation actuelle tant que Microsoft n'aura pas publié l'ensemble des correctifs attendus.

Bon, j'ai une bonne nouvelle, le navigateur qui cohabite avec IE s'appelle Firefox. Mais pourquoi parler d'utilisation temporaire ? Pour ne pas fâcher Microsoft, très puissant fournisseur des 4 entreprises qui financent le Cert-IST ? Quoiqu'il en soit, si l'on a indéniablement le sens du politiquement correct chez Cert-IST, on manque un peu de bon sens. Qui dit que IE sera sécurisé un jour ? Si on s'en tient à ce qui s'est passé jusqu'à présent, on peut en douter. Enfin, quand un utilisateur est passé à Firefox, je doute fort de son envie de revenir à Internet Explorer... Quiconque ayant fait l'expérience pourra confirmer cela !

Mise à jour : notons que Microsoft propose une méthode pour retirer l'infection SCOB, ce qui n'empêche pas l'infection elle-même. C'est déjà ça.