Journal La France et l'Allemagne déconseillent l'utilisation d'Internet Explorer

Posté par  .
Étiquettes : aucune
10
18
jan.
2010
Non, ce n'est pas le 1er avril... mais c'est un jour de fête pour tous ceux qui ont été un jour confrontés à la nécessité d'utiliser cet outil pour accéder à un service.

Une faille de sécurité du navigateur Internet Explorer[0] a été exploitée pour les attaques subies par Google en Chine (operation Aurora).

L'occasion rêvée pour Google de faire une place à Chrome (comme le bandeau visible en page d'accueil de Youtube). L'argument technique est connu de tous et de longue date. IExplorer n'est pas sûr.

En allemagne, l'Office fédéral allemand pour la sécurité de l'information (BSI)[1], et en France, le Certa (Centre d'expertise de réponse et de traitement des attaques informatiques), recommandent tous deux à leurs ressortissants de ne plus utilisaer Internet Explorer tant que la faille n'est pas corrigée. D'après Le Monde et AFP, "Selon le Certa, une "vulnérabilité" dans le navigateur "permet à une personne malintentionnée d'exécuter du code arbitraire à distance". Cette mise en garde concerne les versions 6, 7 et 8 d'Internet Explorer."

On peut ainsi lire sur le site du Certa qu'"Une vulnérabilité [dans Microsoft Internet Explorer] due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Des exploitations limitées de cette vulnérabilité ont déjà été constatées."

"Dans l'attente d'un correctif de l'éditeur, Le CERTA recommande l'utilisation d'un navigateur alternatif. Le CERTA rappelle également qu'il est fortement conseillé de naviguer sur l'Internet avec un compte utilisateur aux droits limités et la désactivation de l'interprétation de code dynamique (JavaScript, ActiveX, ...). De plus, l'activation du DEP (Data Execution Prevention) peut limiter l'impact de cette vulnérabilité."
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-001/

L'alerte du Cert aux Etats-Unis préfère indiquer qu'il n'y a pas de solution "We are currently unaware of a practical solution to this problem.". http://www.kb.cert.org/vuls/id/492515

D'après Dmitri Alperovitch, vice-president de la recherche de menace shez McAfee, relaté par Cnet, "L'exploit était un bout de code javascript et avait de multiples niveaux de cryptages qui vous donnait le code binaire de l'exécutable, lequel téléphonait à domicile et retirait un fichier crypté d'un serveur externe. Ce fichier utilisait de multiples clés de cryptage et une fois décrypté il se transformait en exécutable qui lachait différents modules à l'intérieur du système infecté." [2]
http://news.cnet.com/8301-27080_3-10435232-245.html

[Note : l'auteur recommande pour sa part konqueror qui lui a sauvé son article lors d'un plantage... oui il a planté et c'est rare, mais il a sauvé toutes les données. Konqueror a aussi comme avantage de ne fonctionner que sur des systèmes d'exploitation de bonne facture. Il est aussi très léger et n'a pas besoin de modules externes pour être fonctionnel. :-) ]

[0] http://www.microsoft.com/technet/security/advisory/979352.ms(...)
"The vulnerability exists as an invalid pointer reference within Internet Explorer. It is possible under certain conditions for the invalid pointer to be accessed after an object is deleted. In a specially-crafted attack, in attempting to access a freed object, Internet Explorer can be caused to allow remote code execution."

[1]
https://www.bsi.bund.de/cln_183/ContentBSI/presse/Pressemitt(...)
Une traduction en anglais est disponible dans l'article "German Government: Don't use Internet Explorer" de Graham Cluley sur le site de sophos :
Critical vulnerability in Internet Explorer
BSI recommends the temporary use of an alternative browser
Bonn, 15.01.2010.
In Internet Explorer there exists a critical yet unknown vulnerability. The vulnerability allows attackers to inject malicious code via a specially crafted webpage into a Windows computer, in order to infiltrate and control computers. The past week has become known in the Hacker Attack on Google and other U.S. companies has probably exploited the vulnerability.
Affected are the versions 6, 7, and 8 of Internet Explorer on Windows XP, Vista and Windows 7. Microsoft has published a security advisory, in which it discusses ways of minimizing risk and is already working on a patch for the security hole. The BSI expects that this vulnerability will be used in a short time for attacks on the Internet.
Although running Internet Explorer in "protected mode" as well as disabling Acitve Scripting does make it more difficult to attack, it can not completely prevented. Therefore, the BSI recommends that users switch to an alternative browser while waiting for Microsoft's patch.
Once the vulnerability has been closed, the BSI on its warning and information service MayorCERT also informed. Keep informed about the civic-CERT and the BSI warns citizens and small and medium enterprises from viruses, worms and vulnerabilities in computer applications. The expert analysis of the BSI around the clock, the security situation in the Internet and send alerts when action is needed and safety information via E-mail.

[2] "The exploit itself was a piece of JavaScript code that encrypted itself and had multiple layers of encryption that got you to the executable binary code, which phoned home and then pulled an encrypted file from an external server," Alperovitch said. "That file used multiple keys for encryption and once it was decrypted it turned into an executable that dropped various modules onto the infected system."
http://news.cnet.com/8301-27080_3-10435232-245.html

  • # PS : le lien vers l'article du monde

    Posté par  . Évalué à 2.

    http://www.lemonde.fr/technologies/reactions/2010/01/17/la-f(...)

  • # LinuxEN

    Posté par  (site web personnel) . Évalué à 3.

    Je trouve intéressant de noter que :
    - tu postes sans traduction ni explication un extrait d'article en anglais, alors que pour l'article en allemand non ;
    - comble de l'ironie, pour l'article en allemand, tu nous offres un lien vers une traduction... en anglais !

    Je ne me plains pas, j'ai la chance de comprendre l'anglais, mais il est intéressant de voir que (bien qu'étant sur LinuxFR) ces 2 langues étrangères n'ont pas du tout le même statut.

    • [^] # Re: LinuxEN

      Posté par  . Évalué à 7.

      Das stimmt !

      • [^] # Re: LinuxEN

        Posté par  . Évalué à -8.

        je l'avais dis, dis et redis, combien de fois je me suis fait insulter, discréditer, écarter.
        je vais faire la nique en retour pendant pas mal de temps, en faire mon credo ma vengeance, ma signature et ma justification pour les siècle des siècle. c'est pas juste une victoire, pour moi c'est mon laissé passé pour la sortie de l'hp.

      • [^] # Re: LinuxEN

        Posté par  . Évalué à 5.

        Es tut mir leid...

        Même si je ne maîtrise moins bien cette langue que l'anglais.

        Je voulais aussi réagir sur le "Konqueror a aussi comme avantage de ne fonctionner que sur des systèmes d'exploitation de bonne facture."

        Eh non, avec KDE4, cela tourne également sous Windows ;)

        http://www.linuxtutorial.it/wp-content/immagine.JPG

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: LinuxEN

          Posté par  (site web personnel) . Évalué à 1.

          Euh, vu le titre de l'image (immagine) je me demande si ce n'est pas un montage.

          • [^] # Re: LinuxEN

            Posté par  . Évalué à 5.

            immagine cela veut dire image en italien : http://it.wikipedia.org/wiki/Immagine

            Et crois-moi, j'ai installé KDE4 dans XP/VirtualBox et cela fonctionne réellement !

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: LinuxEN

      Posté par  . Évalué à 3.

      Je ne sais pas ce que la référence vaut, mais voilà quelques statistiques sur les langues des utilisateurs d'internet ( http://www.internetworldstats.com/stats7.htm ). IMHO on peux classer les langues en deux groupes, celles qu'en général on maîtrise (sa langue maternelle et l'anglais) et les autres (chinois, allemand, etc.) La différence de statut des deux langues est intéressante mais pas étonnante.

      En passant j'ai trainé un peu sur ce site, un point de vue sympathique consiste à regarder la croissance des langues sur internet par rapport à la croissance de la population sur internet dans la période 2000-2009. L'anglais affiche 60%, l'allemand 35%, le français 145% et... la chine 285%! Il y a de quoi se demander si google fait bien de se retirer... Tiens, en passant on apprend en première page du site que les recherches concernant Tiger Woods ont augmenté de 850% ces trois derniers mois! Comment ça je m'égare?

    • [^] # Re: LinuxEN

      Posté par  . Évalué à 4.

      Je ne me plains pas, j'ai la chance de comprendre l'anglais, mais il est intéressant de voir que (bien qu'étant sur LinuxFR) ces 2 langues étrangères n'ont pas du tout le même statut.
      Tu sais très bien que si j'avais mis de l'Allemand, le premier commentaire aurait été pour s'émouvoir que personne ne le comprend... ;-)
      Mais oui j'aurais dû le mettre, d'ailleurs le voici :
      Bonn, 15.01.2010.
      Im Internet Explorer existiert eine bisher unbekannte kritische Sicherheitslücke. Die Schwachstelle ermöglicht Angreifern, über eine manipulierte Webseite Schadcode in einen Windows-Rechner zu schleusen und zu starten. Der in der vergangenen Woche bekannt gewordene Hacker-Angriff auf Google und weitere US-Unternehmen hat vermutlich diese Sicherheitslücke ausgenutzt.

      Betroffen sind die Versionen 6, 7 und 8 des Internet Explorer auf den Windows-Systemen XP, Vista und Windows 7. Microsoft hat ein Security Advisory herausgegeben, in dem es Möglichkeiten der Risikominimierung beschreibt und arbeitet bereits an einem Patch, um die Sicherheitslücke zu schließen. Das BSI erwartet, dass diese Schwachstelle in kurzer Zeit für Angriffe im Internet eingesetzt wird.

      Das Ausführen des Internet Explorer im „geschützen Modus“ sowie das Abschalten von Acitve Scripting erschwert zwar die Angriffe, kann sie jedoch nicht vollständig verhindern. Deshalb empfiehlt das BSI, bis zum Vorliegen eine Patches von Microsoft auf einen alternativen Browser umzusteigen.
      Sobald die Sicherheitslücke geschlossen ist, wird das BSI über seinen Warn- und Informationsdienst Bürger-CERT darüber informieren. Über das Bürger-CERT informiert und warnt das BSI Bürger sowie kleine und mittelständische Unternehmen vor Viren, Würmern und Sicherheitslücken in Computeranwendungen. Die Experten des BSI analysieren rund um die Uhr die Sicherheitslage im Internet und verschicken bei Handlungsbedarf Warnmeldungen und Sicherheitshinweise per E-Mail.

      • [^] # Re: LinuxEN

        Posté par  . Évalué à 10.

        C'est bien sympa de balancer un article en allemand, comme ça. Mais penses-tu aux personnes qui n'y comprennent rien?

      • [^] # Re: LinuxEN

        Posté par  (site web personnel) . Évalué à 1.

        > Tu sais très bien que si j'avais mis de l'Allemand, le premier commentaire aurait été pour s'émouvoir que personne ne le comprend... ;-)

        Alors fais comme si c'était pareil pour l'anglais. Ce site c'est LinuxFR, sa spécificité et son intérêt c'est d'être une source, rare, d'infos sur Linux et les logiciels libres en français pour les gens qui ne comprennent pas (ou mal) l'anglais. Si on veut des infos en anglais, l'internet en regorge déjà, pas besoin d'un n-ième site.

        Moi je dis juste ça parce que des fois les gens aimeraient bien être nuls en anglais tranquilles, alors si on se met à poster en anglais jusque sur LinuxFR, ils vont pas revenir. Pire, ils vont se mettre à manger des hamburgers et boire du thé. Beurk.

    • [^] # Re: LinuxEN

      Posté par  (site web personnel) . Évalué à 8.

      mais il est intéressant de voir que (bien qu'étant sur LinuxFR) ces 2 langues étrangères n'ont pas du tout le même statut.

      Je ne trouve pas cela intéressant de noter une évidence, car il est évident que ces deux langues n'ont pas le même statut.
      Et d'autant plus vrai dans le monde informatique, avec nos RTFM rédigé en anglais.

      Donc, qu'on me permette d'avoir une traduction d'un texte allemand en anglais, parce que la traduction en français n'a pas été faite ne me surprend pas.

    • [^] # Re: LinuxEN

      Posté par  (site web personnel) . Évalué à 1.

      Tu trouves vraiment ça intéressant ?
      Tu sais que quand il fait -5°C, les êtres humains commencent à ressentir le froid de façon à mettre leur santé en danger, alors que les autres mammifères,à fourrure épaisse et graisseuse, ne s’en portent pas plus mal ? Tiens, je connais d’autres trucs assez intéressant, par exemple que l’eau mouille, et que le soleil, en revanche, la fait sécher.

  • # BOF

    Posté par  . Évalué à 8.

    > Konqueror a aussi comme avantage de ne fonctionner que sur des systèmes d'exploitation de bonne facture

    Hem, tu connais le projet KDE-win ?

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: BOF

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      windows n'est pas un OS de bonne facture ?


      --->[]

      • [^] # >

        Posté par  . Évalué à 7.

        Salée, la facture...

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # C'est pas la premiere fois

    Posté par  (site web personnel) . Évalué à 0.

    Le CERT-A recommande souvent des trucs infaisable, du genre ne plus utilisé acrobat mais mes chercheurs ne peuvent souvent pas lire leur PDF avec autre chose car très souvent, il faut la dernière version d'acrobat pour les lire.

    Idem dans plein de cas sous Windows...


    Bref, le CERT-A, c'est gentil mais sur le terrain, si tu suis leur recommandation à la lettre, tu n'avances pas et tu revient rapidement au boulier ;-)

  • # Une affiche de propagande ?

    Posté par  (site web personnel) . Évalué à 9.

    Quelqu'un de doué pour dessiner ou adapter une affiche de propagande à l'ancienne avec le texte « When you use IE, you're helping communism » ?

    Ça n'aura jamais été aussi vrai et ça fera peut-être migrer quelques Américains vers un navigateur alternatif :)

    • [^] # Re: Une affiche de propagande ?

      Posté par  (site web personnel) . Évalué à 1.

      Pourrir la réputation de Microsoft, par exemple en Chine, c'est pousser le gouvernement chinois à accélérer le processus d'adoption de Firefox, de Red Flag Linux [1], ou de Asianux [2].

      En Russie, ex URSS, ce sont les pirates russes qui ont certainement le plus profité des failles des systèmes Microsoft, et ceci après la perestroica et la chute de l'URSS.

      Quant à Cuba : (extraits d'un article publié en 2009)
      Microsoft a décidé de désactiver son service de messagerie instantanée pour cinq pays frappés d'embargo par les États-Unis. En Syrie, Iran, Corée du Nord, au Soudan et à Cuba, les utilisateurs d'Internet ne peuvent donc plus se connecter à Windows Live Messenger. L'Associated Press rapporte que cette décision de Microsoft a été critiquée par Cuba, la presse cubaine parlant notamment d'une violation sévère des droits des Cubains, alors que le service de Microsoft était fonctionnel depuis près de dix ans.
      Cuba qui semble enclin à adopter le logiciel libre pour remplacer les applications Windows et ainsi se soustraire aux décisions de sociétés technologiques US ( avec également une limitation au niveau des licences logicielles accordées ), bénéficie d'une connexion Internet fournie via satellite par des pays comme le Canada et l'Italie.
      Source : http://www.generation-nt.com/windows-live-messenger-cuba-blo(...)

      Les exemples de migration vers le libre, dans les pays d'Amérique latine à tendance socialiste, sont aussi très nombreux.

      Du coup...je pense ta proposition assez naïve et surtout à l'opposé de ce que semblent réaliser les gouvernements dits communistes.

      [1][2] : http://www.redflag-linux.com/en/

  • # LOL

    Posté par  (site web personnel) . Évalué à 9.

    désactivation de l'interprétation de code dynamique (JavaScript, ActiveX, ...)

    Ah ouais, quand même. Je leur conseil d'essayer de désactivé javascript, ou ne serais-ce que d'installer NoScript sous firefox.

    Sérieusement, il y a un nombre croissant de site qui ne fonctionne tout simplement pas sans js. Je ne parle pas d'un fonctionnement en mode dégradé, non, sans js, point de salut.

    Le pire exemple que j'ai en tête, tant du point de vu technique que de son importance sociale, c'est le site de pôle emploi. Le moindre lien semble y être un appel à une fonction js. Il n'est même pas possible de faire le moindre retour à la page précédente (avec la fonction idoine du navigateur, j'entends).

    Hier j'ai perdu rien d'autre qu'1H30 à remplir un formulaire pour une nième fois renseigner mon CV, je l'avais tout bien peaufiné à remplir un descriptif de mes formations et expériences pro., le tout formulé pour tenir dans leur saleté de limite de caractères (au lieu de me laisser copier ce que j'ai sur mon CV fait sous scribus), et là PAF ! Ta session n'existe plus coté serveur mon gars. Bien sûr nous n'avons rien sauvegardé de tes saisies. Vous imaginez que j'avais un peu les nerfs. J'ai répondu au mail qui me proposait de remplir mon CV sur le site que je leur proposait mes compétences dont ils auraient apparemment bien besoin. Mais je doute que ce mail tombe ailleurs que dans /dev/null…

    Bon bref, pas de js, moins je veux bien, mais faudrait que les webmasters n'en fasse pas une dépendance obligatoire aussi.

    • [^] # Re: LOL

      Posté par  . Évalué à 6.

      Oui, c'est très agréable, par exemple après une recherche, parmi la liste des annonces proposées, je repère celles qui m'intéressent, et je clique molette pour ouvrir un onglet: pas de chance, c'est du js. Bon .. je clique sur l'annonce, qui ne s'ouvre pas dans un pop-up, mais change la page courante.

      On peut revenir en arrière en indiquant au navigateur de renvoyer les données, ou alors utiliser le bouton «retour aux résultats» ou quelque chose comme ça, mais qui ne marche pas (hier soir, chez moi, sur FF)

      Il y a aussi un système qui «déconnecte» au bout d'un certain temps, même si l'on ne possède pas de compte sur le site, et qui oblige à revenir à la page d'accueil, et se taper les 3 4 clics et chargements pour revenir au moteur de recherche. Supeeeer

      J'espère qu'on prend en compte la pénibilité de la recherche de travail pour la retraite

    • [^] # Re: LOL

      Posté par  . Évalué à 1.

      Je n'aime pas utiliser javascript en général, je dois pourtant l'utiliser quand on ne me laisse pas le choix, pour noter sur linuxfr par exemple.

      Pourtant dans ce cas, ce n'est pas ce point qui me semple important. Puisque l'occasion est là, pourquoi ne pas en profiter pour pousser à la migration vers AutreChose(tm) ? On pourra toujours reparler de js quand la vaille sera corrigée, puisque ouin conservera toujours des parts de marché, et que ça restera toujours une vulnérabilité possible même pour ses concurrents.

      Aujourd'hui tous ceux qui ont eu le déplaisir d'obtenir une fin de non reçevoir pour avoir demandé une offre compatible pour accéder à un service, ou qui ont été agaçés par les mentions "nécessite IE" ou "optimisé pour IE", peuvent se plaindre justement auprès des services clientelle, et exprimer clairement leurs interrogations et leur défiance vis à vis des prestataires irresponsables qui imposent à leurs clients à prendre des attitudes peu sûres...

      Existe-t-il un registre des sites et services qui imposent IE ?

      On peut en trouver avec http://www.google.fr/?q=nécessite+Internet+explorer
      comme par exemple :
      "Barre d'outils Google
      Nécessite Internet Explorer 6.0 ou versions ultérieures. Partagez n'importe quelle page Web avec vos amis, directement à partir de la barre d'outils. ...
      http://toolbar.google.com/T4/intl/fr/      "
      (on voit la différence avec http://www.google.com/toolbar/ie8/intl/fr/ avec une banière sur l'image dIE : "optimisé pour google")

      ou encore en fouillant un peu :
      FONCTIONS INTERNET:
      Internet Explorer 6.0 (minimum) ou IE 7.0 (conseillé), une connexion Internet, et un logiciel de messagerie compatible MAPI (Outlook conseillé). MiniCiel® nécessite Windows Vista.
      http://www.ciel.com/logiciel-ciel-devis-factures.aspx
      http://www.ciel.com/logiciel-ciel-coffret-etudiants.aspx
      http://www.ciel.com/ciel-logiciel-auto-entrepreneur.aspx
      Pour accéder à ce texte, cliquez sur le menu "Configuration", qui est en javascript évidemment...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.