Informations d'accessibilité| Page d'accueil| Aller au contenu| Plan du site| Moteur de recherche| Contact

Association Francophone des Utilisateurs de Logiciels Libres

French speaking Libre Software Users' Association

Promouvoir les logiciels libres ainsi que l'utilisation de standards ouverts.

Le point sur Microsoft Internet Explorer et ses problèmes de sécurité

Dernière modification : 19/12/2007 15:36
Le point sur Microsoft Internet Explorer et ses problèmes de sécurité, ou comment limiter drastiquement les risques de virus, intrusions et compromissions de données en utilisant des logiciels libres

Les multiples trous de sécurité d'Internet Explorer trouvés ces dernièrs mois amènent beaucoup de responsables de la sécurité ou des systèmes d'information à repenser leur politique de déploiement de navigateurs en entreprise. Le présent article a pour objectif d'éclairer leur démarche dans la sécurisation du système d'information sur le composant qui est probablement le plus vulnérable : le navigateur, dont Microsoft est quasiment le fournisseur exclusif, avec des parts de marché qui avoisinent les 90%.

1 - Rappel des faits récents sur l'insécurité d'Internet Explorer

Quelques faits récents démontrent la réalité et l'étendue des problèmes d'insécurité d'Internet Explorer :

1.1 - Usurpation d'identité de sites

Ce bogue dans Internet Explorer (versions 5, 5.5 et 6, tous systèmes confondus) permet à un site malveillant d'afficher ce qu'il veut dans la barre d'adresse. Un site malveillant, en reprenant l'apparence d'un site ordinaire (site bancaire par exemple) et en affichant l'adresse du site qu'il imite, peut amener les utilisateurs à saisir des informations confidentielles (mots de passe, identifiants), pour ensuite les utiliser comme bon lui semble. À titre de démonstration, un plaisantin s'est amusé à faire croire que Microsoft recommandait l'utilisation du navigateur libre Mozilla[1] à la place d'Internet Explorer (voir la copie d'écran).

Voici un historique des faits :

  1. 09/12/2003 : Vulnérabilité publiée pour la première fois
  2. 14/12/2003 : Le support Microsoft annonce « La façon la plus efficace de vous protéger des hyperliens malveillants, c'est de ne pas cliquer dessus. A la place, tapez vous-même l'URL de votre destination dans la barre d'adresse. »
  3. 19/12/2003 : Microsoft annonce qu'il n'y aura pas, en décembre, de correctifs de sécurité. Le même jour, un groupe de développeurs indépendants propose une rustine.
  4. 11/01/2004 : Le quotidien espagnol El Pais révèle une escroquerie à grande échelle reposant sur cette vulnérabilité
  5. 21/01/2004 :  Microsoft publie ses correctifs mensuels de sécurité. La rustine pour le problème d'usurpation d'identité n'y figure pas.
  6. 03/02/2004 : Microsoft, en dehors du cycle habituel des corrections de trous de sécurité, corrige le problème et du coup supprime le système de sécurité "Basic HTTP authentication". Des milliers de sites utilisant cette méthode de contrôle d'accès ne fonctionnent plus.

1.2 - Double-cliquer sur un dossier peut lancer un programme malicieux

Ce trou de sécurité, encore non corrigé, fait qu'un logiciel malveillant peut apparaître comme dossier tout à fait anodin dans Windows XP. Du fait de cette apparence, l'utilisateur peut être amené à double-cliquer dessus pour ouvrir ce qu'il croit être un dossier, alors qu'il lance en fait un installeur de porte dérobée (backdoor), cheval de Troie, ou virus.

1.3 - Usurpation d'extension de fichier lors de téléchargements

Les utilisateurs du système d'exploitation Microsoft Windows les mieux informés savent qu'il est potentiellement dangereux de télécharger certains types de fichiers. Ils s'abstiennent donc de télécharger des exécutables (par exemple des fichiers avec l'extension EXE ou PIF), qui peuvent contenir des virus, des chevaux de Troie ou d'autres programmes dangereux. Des fichiers de type texte (par exemple avec l'extension TXT) ou PDF sont normalement inoffensifs. Mais ce trou de sécurité d'Internet Explorer permet de faire passer des fichiers exécutables pour des PDF et des TXT, qui seront exécutés automatiquement après téléchargement. De tels logiciels donnent tous les pouvoirs à des personnes malveillantes, comme par exemple la prise de contrôle à distance ou l'envoi de fichiers sensibles à l'extérieur de l'entreprise, la récupération illicite des mots de passe de messagerie ou de différents systèmes.

1.4 - Microsoft Internet Explorer et Outlook Express

Les trous de sécurité d'Internet Explorer deviennent plus critiques si ce dernier est utilisé conjointement avec le logiciel de messagerie Outlook Express. Ces deux logiciels agissent en effet avec une automatisation et une intégration très forte qui en fait la plateforme de réception et de propagation de virus idéale pour du code malveillant.

2 - Internet Explorer est intrinsèquement non sécurisé

Il faut savoir qu'historiquement, Microsoft a toujours sacrifié la sécurité à la simplicité d'utilisation, en vue de conquérir plus de parts de marché et faire disparaître Netscape et les autres concurrents. Aujourd'hui, cela se ressent toujours dans les produits, et de nouveaux trous de sécurité sont trouvés très fréquemment. L'utilisation de la technologie ActiveX est à ce titre révélateur. Un ActiveX, une fois chargé en mémoire, a tout pouvoir sur la machine de l'utilisateur. Par opposition, une Applet Java s'exécute dans une « sandbox », une zone dont les droits sont très limités (impossible de lire ou écrire sur le disque dur de la machine, à moins que l'utilisateur ne donne explicitement les droits).
Par ailleurs, l'intégration d'Internet Explorer au sein du système d'exploitation pose de graves problèmes de sécurité, comme l'indique par exemple ce trou de sécurité qui fait que double-cliquer sur un dossier sous Windows XP peut lancer un programme malveillant. (Voir une description plus précise dans la section 3.2)

3 - Microsoft est très peu réactif sur ces problèmes de sécurité

Des trous de sécurité sont régulièrement découverts dans Internet Explorer. Il faut savoir que tous les logiciels sont susceptibles de connaître de tels trous de sécurité. Trois critères sont importants pour évaluer le danger :

  1. La fréquence de découverte de trous de sécurité
  2. La rapidité de réaction du fournisseur de la technologie en fournissant des « rustines » (patches) résolvant le problème
  3. La capacité des administrateurs à appliquer les rustines fournies

Voici une liste partielle des trous de sécurité trouvés depuis fin 2002 : http://secunia.com/advisories/10736/?show_all_related=1#related. On constate à quel point ces trous arrivent fréquemment.

En ce qui concerne la réaction de Microsoft, même depuis l'annonce début 2002 que la sécurité était la première des priorités, cela n'a pas vraiment changé[2]. La preuve en est que même avec les toutes dernières rustines installées (ce que peu de personnes font), il reste encore une vingtaine de trous de sécurité, qui sont listés ici : http://www.safecenter.net/UMBRELLAWEBV4/ie_unpatched/index.html.

4 - Conclusion

Pour toutes les raisons expliquées précédemment, l'utilisation d'Internet Explorer pour Windows crée des faiblesses critiques dans la sécurité des infrastructures où ce logiciel est déployé.

Malgré ses déclarations, Microsoft ne semble guère prédisposé à agir efficacement pour sécuriser ce logiciel qui ne lui rapporte pas de revenus. À la décharge de Microsoft, il est très difficile de corriger le fonctionnement d'un logiciel mal conçu dès le départ et utilisé dans un nombre quasiment infini de configurations avec lesquelles il faut maintenir une compatibilité. On peut considérer que sécuriser correctement Internet Explorer pour les infrastructures existantes est impossible, de la même façon qu'on ne peut pas consolider un immeuble dont les fondations sont sous-dimensionnées ou construit sur un terrain instable. De plus, l'intégration d'Internet Explorer dans le système d'exploitation ne fait que renforcer cet état de fait, comme le démontre le point 3.2.

Même une politique de mise à jour extrêmement stricte et une sérieuse gestion de la sécurité périphérique (notamment avec des pare-feux) laisse plusieurs occasions de subir de graves dommages. En complément d'une campagne d'information et de formation des utilisateurs sur les dangers liés à l'utilisation d'Internet, la diversification du système d'information, et en particulier par l'utilisation de logiciels libres comme les navigateurs de la famille Mozilla[1], est probablement la meilleure des solutions, comme l'écrit le Gartner Group.

Notes

  1. La suite logicielle Mozilla est une suite multiplateforme (GNU/Linux, Mac OS X, Mac OS 9, Microsoft Windows) comprenant, entres autres, un navigateur web (Navigator), un logiciel de messagerie (Mail) et un outil de composition de pages web (Composer) respectant les standards de l'Internet.

    La suite Mozilla utilise un système d'internationalisation et une version en français est disponible.

    Le code source de Mozilla est librement disponible et Mozilla étant un logiciel libre son code source est librement modifiable. Tous les développeurs et groupes de développeurs compétents peuvent ainsi proposer leurs correctifs et leurs améliorations même si la Mozilla Foundation venait à négliger sa tâche ou à changer ses prioriétés.

    En savoir plus sur Mozilla >>

  2. Mozilla a eu, au jour de la rédaction de cet article, 62 bugs de sécurité repertoriés, tous résolus, à mettre en perspective avec les chiffres de eEye.

    Les vulnérabilités « clients » de Microsoft Internet Explorer sont en progression : de 20 au premier semestre 2003 à 34 au deuxième semestre de la même année, soit une augmentation de 70 %. Beaucoup de ces vulnérabilités permettent aux attaquants de contaminer les systèmes d'utilisateurs qui visitent des sites Web hébergeant des contenus malicieux, intentionnellement ou non. La principale source d'inquiétude à cet égard est la très grande popularité d'Internet Explorer.

    Source : http://www.categorynet.com/fr/cp/details.php?id=43089