IE7 vulnérable à des attaques exploitant une faille non corrigée

Aux tranchées, cela risque de secouer ("Dig in floks, this could be a rough ride"). C'est par cet avertissement laconique que le directeur d'iDefense (une filiale de Verisign spécialisée dans la recherche en sécurité) a commenté la découverte d'une faille dans Internet Explorer 7, faille déjà exploitée par plusieurs kits d'attaque sans qu'aucun correctif n'ait été produit à ce jour par Microsoft. Autant dire un petit cauchemar sécuritaire en perspective pour l'éditeur.

Détecté le 9 décembre, le cheval de Troie IE-7 Zero-Day Downloader serait apparu pour la première dois le 8 décembre en Chine. McAfee a annoncé son existence le 9 décembre au matin et iDefense a effectué une analyse du code de l'attaque dans la matinée. Selon cette analyse, toutes les versions d'IE7 sont affectées par la faille et il n'existe aucune parade, sinon se tourner vers un navigateur tiers tels que FireFox, Safari ou Opera ou d'inactiver la gestion des scripts (ce qui empêche aussi le fonctionnement de nombreux sites).

Depuis la première analyse, les variantes se multiplient ce qui signifie que la liste de Shadowserver (fondation de recherche en sécurité) recensant les sites hébergeant des exploits dans la nature devrait rapidement s'allonger. Plus comique, l'équipe de sécurité chinoise Knownsec a avoué le 9 décembre avoir disséminé par erreur un code exploitant la faille sur Internet. Knownsec croyait la faille déjà corrigée... Il est vrai qu'en Chine, des rumeurs sur la faille courrait depuis quelques temps et que des exploits en tirant parti étaient apparus en octobre, vendus parfois plus de 15 000 $ (voir à ce propos notre article de ce jour sur la cybercriminalité).

En attendant, l'absence de correctif pourrait laisser la place à une multiplication des exploitations de la faille. En attendant la réaction de Microsoft, il est donc plus que conseillé d'éviter l'emploi de IE7.