La découverte d'une faille dans le navigateur Internet Explorer de Microsoft, exploitée pour mener des attaques contre Google en Chine, réveille des craintes sur la vulnérabilité de ce logiciel utilisé par des millions d'usagers, même si ce type d'incidents est relativement fréquent.
Le Certa (Centre d'expertise de réponse et de traitement des attaques informatiques) en France et le BSI (Office pour la sécurité des techniques d'information) en Allemagne ont émis tous deux vendredi des bulletins d'alerte concernant Internet Explorer.
Le risque est que la faille en question, qui permet d'«exécuter du code» à distance, «soit utilisée pour mener des actions malveillantes», explique à l'AFP un porte-parole de l'Agence nationale de la sécurité des systèmes d'information (Anssi), dont dépend le Certa.
Via cette «vulnérabilité», le cybercriminel peut «supprimer des fichiers, installer un logiciel malveillant, ou si vous avez des droits d'administration, il peut accéder à tout sur l'ordinateur, récupérer tous les fichiers, endommager la machine», ajoute-t-il.
Microsoft a annoncé jeudi que cette faille avait ainsi été exploitée pour mener des attaques contre Google en Chine.
L'attaque, «très sophistiquée», a pris la forme d'un logiciel malveillant qui se fait «passer pour une application classique»: celle-ci a «volé des informations» notamment sur des comptes Gmail de défenseurs des droits de l'Homme, précise Jean-Philippe Bichard, porte-parole de l'éditeur de solutions de sécurité informatique Kaspersky.
Ce logiciel malveillant coûte «plus de 100 000 dollars au marché noir», selon lui.
Si la faille est jugée «importante» par le Certa, qui la classe à un niveau 8 sur une échelle de 10, ce dernier souligne néanmoins qu'il émet «régulièrement ce type d'alerte pour différents logiciels, que ce soit Internet Explorer, Firefox, Opera, Safari...».
Cette faille est «mise en exergue par l'attaque contre Google», mais «le risque n'est pas plus important que d'habitude», ajoute-t-il.
Le BSI estime lui que le risque «est, selon l'état actuel de (ses) connaissances, jugé comme élevé, puisque la faille concerne plusieurs versions d'Internet Explorer». Si cet organisme émet chaque année environ 200 alertes avec une importance «haute», celle-ci se distingue, selon lui, par l'ampleur du parc d'ordinateurs à risque.
«Ce genre de faille arrive régulièrement. La différence par rapport à d'habitude c'est que cela touche un produit grand public et largement utilisé, ce qui est plus rare», confirme Matthieu Kaczmarek, ingénieur expert à l'Inria (Institut national de la recherche en informatique et automatique).
Microsoft relativise de son côté la menace: «Même si cette faille concerne la totalité des versions d'Internet Explorer, aujourd'hui, l'attaque n'a de conséquence que sur une version assez ancienne, Internet explorer 6, qui était disponible avec Windows XP», explique le directeur sécurité de Microsoft France, Bernard Ourghanlian.
«En ce sens, nous considérons que la prise de position du Certa, habituelle dans ce type d'alerte et qui consiste à dire (...) qu'il faut installer un navigateur alternatif», est un «conseil d'extrême sécurité et n'est pas forcément justifié», poursuit-il.
Selon lui, «10 à 15% des internautes» dans le monde utilisent cette version: Microsoft leur conseille d'installer Internet Explorer 8 ou de télécharger un outil spécifique sur son site web.
«Nous travaillons 24h sur 24 pour corriger le problème», mais «cela prend du temps» car «nous avons besoin de nous assurer que le remède ne sera pas pire que le mal», précise M. Ourghanlian, en ajoutant que «c'est une question de jours».