Faille IE : la solution provisoire de Microsoft insuffisante ?

Tandis que Microsoft tente de minimiser la portée de la dernière faille zero-day du navigateur Internet Explorer (versions 6 à 9), permettant à un assaillant de prendre le contrôle d'un PC après la simple visite d'une page Web, les responsables de la sécurité en entreprises doivent tenter de circonscrire le danger, en attendant la sortie du patch promis par le premier éditeur mondial.

Si la solution la plus efficace consiste à passer à un autre navigateur le temps que Microsoft comble cette faille - solution préconisée par l'agence allemande spécialisée dans la sécurité des SI -, elle s'avère difficilement praticable en entreprises. En raison de la lourdeur des tests et des déploiements et, dans bien des cas, de l'existence d'applications Web développées pour IE. Microsoft, suivi par le Certa français, conseille différentes mesures provisoires dont l’installation de EMET (Enhanced Mitigation Experience Toolkit), outil à destination des administrateurs dont les mécanismes visent notamment à réduire la surface d’attaque potentielle.

Reste que cet outil fait l'objet de critiques dans la communauté des experts en sécurité. Trop lourd à déployer pour les uns. Et surtout potentiellement inefficace. Dans un entretien à Associated Press, l'ingénieur Tod Beardsley, de la firme Rapid7, prévient que l'outil pourrait ne pas être efficace pour bloquer l'exploit désormais disponible publiquement via une mise à jour du kit de pénétration Open Source Metasploit. Un avis bien informé puisque Rapid7 gère justement le projet Metasploit, récemment mis à jour pour intégrer le code permettant d'exploiter la dernière faille IE.

En complément :

Faille IE : l’Allemagne déconseille l’usage d’IE, la France suit les recommandations de Microsoft