Le navigateur Internet de la firme de Redmond n'a pas fini de souffrir de failles et autres déboires numériques alors que son successeur est toujours en préparation dans les locaux de son développeur, et actuellement toujours en phase de test.
Plus occupé par d'autres projets d'une autre importance, Microsoft avait plus ou moins gelé le développement de son actuel navigateur, cessant toute innovation dans ce dernier pendant une longue période.
Seules quelques mises à jour de sécurité étaient apportées pour corriger les failles les plus critiques, laissant souvent celles estimées comme présentant un danger moindre ou négligeable en attente.
Le résultat est qu'aujourd'hui, la plupart de ces failles n'ont encore jamais vu de correctif de sécurité alors même qu'elles sont connues.
Seulement, il semblerait qu'une de ces failles jugée comme peu dangereuse permette de causer bien plus de dégâts que les estimations du géant du logiciel...
Une erreur de la part de Microsoft
Découverte au mois de mai 2005, cette faille a été à tort classée par Microsoft comme «moyennement critique».
Aujourd'hui, l'éditeur reconnaît son erreur et admet que cette brèche aurait du se retrouver dans la catégorie « hautement critique » et donc être traitée et corrigée plus vite.
Ainsi se baladait dans le code d'Internet Explorer 6 actuellement utilisé par de nombreux internautes une faille critique qui n'avait pas connu de correction.
Seulement, c'était sans compter sur l'acharnement de nos amis les pirates, les vrais, ceux qui ne dorment que le strict minimum (quelques heures par semaine suffisent) et se nourrissent essentiellement de café froid et de pizzas au jambon (froides, bien entendu).
Ceux là même qui ont révélé le véritable niveau de dangerosité de la faille en créant un code exploitant la vulnérabilité et permettant à un attaquant de prendre le contrôle de la machine cible sur simple click de la part de l'utilisateur sur un lien piégé.
La rustine arrive, mais en attendant...
Microsoft affirme que cette faille aux dangers sous-estimés est effective sous Windows 2000 Service Pack 4 et Windows XP Service Pack 2, mais que contrairement à la plupart de ses consoeurs, elle est inoffensive sous Windows 2003 Server, pour peu que l'utilisateur ait pris soin d'activer l'utilitaire de Configuration de Sécurité Avancée présent dans le système.
Un patch serait donc en préparation avec près de 6 mois de retard, mais les experts en sécurité conseillent vivement de passer à un autre navigateur (notamment Mozilla Firefox ou Opera) en attendant l'arrivée de cette rustine et de ne baisser sa garde sous aucun prétexte.