jeudi 1er juillet 2004, Vu Do Quynh

L’US-CERT [1] est un groupe à but non lucratif comprenant des experts en informatique et créé en septembre 2003 par le Département de la sécurité intérieure, en partenariat avec le secteur public et privé. Son but est de fournir des conseils en vue de mieux préparer le public et les administrations américaines aux dangers potentiels liés à internet et aux attaques criminelles utilisant les réseaux informatiques.

Il vient d’émettre un avis de sécurité concernant le navigateur web de Microsoft, Internet Explorer (IE), fourni par défaut avec le système d’exploitation Windows, et conseille carrément aux utilisateurs actuels d’IE d’arrêter de l’utiliser !!!

En effet, ce n’est pas simplement le logiciel IE qui est seul en cause, mais toute la technologie développée par Windows, en particulier le modèle de sécurité et de certification, la technique DHTML [2] et les composants ActiveX [3], ainsi que le modèle MIME [4], dont hérite le navigateur IE.

Cela fait déjà deux semaines que Microsoft avait confirmé l’existence de trous de sécurité, qualifiés d’extrêmement critiques, dans Internet Explorer qui permettaient le chargement de divers programmes espions et spammeurs sur l’ordinateur client sans aucune intervention possible de l’utilisateur. Malgré les promesses de Microsoft de rémédier à ce problème, jusqu’à présent ces trous de sécurité sont toujours présents et non comblés, d’où le message d’alerte et la recommandation de l’US-CERT d’arrêter d’utiliser le navigateur Internet Explorer et d’utiliser d’autres navigateurs qui ne présentent pas ces trous de sécurité, comme Mozilla, Firefox ou Opera.

La semaine dernière, de nombreux serveurs web (serveurs utilisant le logiciel Internet Information Server (IIS) de Microsoft) ont été compromis et les visiteurs de ces sites qui utilisaient Internet Explorer ont eu leurs ordinateurs infectés par plusieurs programmes malicieux qui, soit émettaient des spams [5], soit enregistraient les touches frappées au clavier pour transmission des données vers certains sites web (Lire l’article en anglais en cliquant ici).

Encore une fois, la parade contre ce type de mésaventures est toute simple, il suffit de ne pas utiliser Internet Explorer mais d’utiliser, par exemple le navigateur web Mozilla ou Firefox qui sont des logiciels libres et gratuits, de plus reconnus actuellement comme étant les plus conformes aux standards du Web.

Lire l’article en anglais de Ryan Naraine, à propos de l’avis de l’US-CERT, sur InternetNews.com

[1] US-CERT = U.S. government’s Computer Emergency Readiness Team

[2] Le DHTML ou Dynamic HTML est une extension dynamique du HTML (langage de codage des pages web) qui propose des fonctions avancées comme l’insertion d’animations, la superposition d’objets, le choix personnalisé de feuilles de style et l’accès à des bases de données sans que la machine de l’internaute n’envoie de requêtes au serveur (source : Aisneco)

[3] ActiveX est le successeur de l’OLE (Object Linking and Embedding) dans Windows et qui regroupe l’ensemble des technologies de communication entre applications (Drag-and-Drop, Automation, Contrôles personnalisés, etc.), développé par Microsoft. (Source : Tutorials-online)

[4] Le MIME ou Multi-purpose Internet Mail Extension est un algorithme d’encodage d’informations permettant la transmission de documents multimédia entre deux machines d’appuyant sur des systèmes d’exploitation semblables ou distincts. (Source : 2Si.net )

[5] Le spam est un courrier électronique, souvent à caractère publicitaire, envoyé en masse sans sollicitation préalable du receveur