Faille IE : l’Allemagne déconseille l’usage d’IE, la France suit les recommandations de Microsoft

La pression monte autour de la faille d’Internet Explorer zero-day, découverte ce week-end par une équipe de chercheurs. Face à la criticité de cette vulnérabilité, et aux exploits déjà constatés par la communauté des experts de sécurité, l'Office Fédéral Allemand pour la Sécurité des Systèmes d'Information (Bundesamt für Sicherheit in des Informationtechnik, BSI) a décidé de prendre les devants et «recommande d’utiliser temporairement un navigateur alternatif jusqu’à la publication d’une mise à jour de sécurité par l’éditeur» - comme Safari, Chrome ou Firefox, donc.

Dans un bulletin (en allemand), le bureau allemand confirme également que cette faille serait également exploitée dans des attaques ciblées. Et l’affaire serait d’autant plus sérieuse que «le code d’attaque est disponible gratuitement sur Internet». Le risque «d’une propagation rapide» est ainsi à craindre, souligne encore le BSI.

Ce n’est pas la première fois que le bureau allemand déconseille l’usage du navigateur de Microsoft. En janvier 2010, suite une autre faille zero-day dans IE, le BSI avait déjà recommandé d’utiliser des navigateurs alternatifs. A l’époque, le bureau expliquait que cette faille avait notamment permis de pirater les serveurs de Google en Chine, surtout que le code avait été rendu public. En France, le Certa (Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques) avait émis la même recommandation.

La Défense prise pour cible ?

Citée par nos confrères de Reuters, la société AlienVault, spécialisée dans la sécurité du réseau affirme de son côté avoir repéré trois nouveaux serveurs hébergeant des sites dits malicieux, mis en place pour exploiter la faille zero-day d’Internet Explorer. Et plus alarmant, cette société affirme également avoir trouvé des preuves de l’existence d’un virus qui ciblerait des fournisseurs du secteur très critique de la Défense.

De son côté, Microsoft, qui a bien confirmé l’existence de cette vulnérabilité, tente d’en minimiser sa portée. Dans un billet de blog publié sur le site Microsoft Security Response Center, Yunsun Wee directeur du programme Trustworthy Computing chez Microsoft, explique «n’avoir constaté que quelques tentatives d’exploits, impactant un nombre extrêmement limité de personnes».  Tout en confirmant par ailleurs la publication d’un correctif «dans les prochains jours», sans autre précision. En attendant, l’éditeur de Redmond conseille l’installation de son EMET  (Enhanced Mitigation Experience Toolkit) dont le mécanisme vise notamment à réduire la surface d’attaque potentielle.

En France, le Certa, rattaché à l’Anssi (l'Agence nationale de la sécurité des systèmes d'information) est moins radicale que le BSI allemand. Si l’organisme français émet bien un bulletin en date du 18 septembre, il recommande de son côté d’installer EMET, en guise de «contournement provisoire» s’alignant ainsi sur les directives de Microsoft. «Il est conseillé d'appliquer l'outil de sécurité EMET sur le navigateur afin de limiter les risques d'exploitation. Microsoft a annoncé que Internet Explorer 10 n'est pas concerné par cette faille», écrit-il. Le Certa confirme également que la faille «est activement exploitée et largement diffusée».