Microsoft n'en revient pas. Après la cyberattaque qui a visé Google en Chine , c'est bien l'éditeur de Windows qui a pris le plus de coups. Son logiciel Internet Explorer a été pointé du doigt pour ses failles de sécurité, qui auraient permis à des pirates chinois de pénétrer chez Google. Le Certa (Centre français de réponse aux menaces informatiques, lié à l'État) a même publié le 15 janvier un bulletin d'alerte, recommandant d'utiliser un "navigateur alternatif". Il a immédiatement été suivi dans sa démarche par son homologue allemand, le BSI.
La vulnérabilité ne concerne en réalité que la version 6 d'Internet Explorer (IE6), lorsqu'elle est utilisée avec Windows XP. Sorti en 2001, IE6 a été remplacé en 2007 par IE7, lequel a lui-même passé le relais en 2009 à IE8, version actuelle. Ces deux dernières versions ne sont pas concernées par la faille. Marc Mossé, directeur des affaires publiques et juridiques de Microsoft France, joint par lepoint.fr, dénonce "le ton exagérément alarmiste" de l'alerte et rappelle que l'ensemble des navigateurs Internet "font l'objet d'attaques de sécurité". Et le géant du logiciel a raison : tous les logiciels ont des failles. La question est plutôt de savoir combien de temps l'éditeur mettra pour combler cette faille, car c'est bien là le véritable enjeu : la réactivité. "Nous n'avons pas de date, ce sera dans les prochains jours", estime Marc Mossé.
Le président de Mozilla-Europe (éditeur de Firefox), Tristan Nitot, s'est exprimé sur son blog à titre personnel : "La faille de sécurité aurait pu toucher n'importe quel navigateur. Tous les logiciels complexes ont des bogues. Tous, sans exception", martèle-t-il. Il estime par ailleurs qu'il faut "juger" Microsoft sur son "temps de réaction".
Une polémique qui tombe mal
IE6 est encore utilisé par 10 % des internautes, qui n'ont jamais fait la mise à niveau vers les versions ultérieures, comme l'a recommandé Microsoft dès 2007. Le logiciel permettant d'exploiter la faille coûte "plus de 100.000 dollars sur le marché noir", selon un expert de l'éditeur de logiciels de sécurité Kaspersky. Difficile de penser qu'un quidam puisse être fortement menacé...
"Il s'agit d'une procédure normale d'alerte", justifie un porte-parole du Certa, contacté par lepoint.fr. "Lorsqu'il y a une alerte, quel que soit le logiciel, nous conseillons une solution alternative si elle existe", poursuit-il, reconnaissant que l'alerte du 15 janvier a pris une "ampleur médiatique très importante". L'organisme étatique a classé la menace à 8 sur une échelle de 10, ce qui a attisé les peurs. "Oui, mais de là à ce que tous les médias en parlent", soupire le porte-parole.
Cette affaire tombe très, très mal pour Microsoft. Dans quelques semaines, les internautes européens devront choisir leur navigateur lorsqu'ils allumeront leur ordinateur pour la première fois. La Commission européenne a en effet forcé l'éditeur de logiciels à proposer plusieurs navigateurs dans Windows pour favoriser la concurrence à Internet Explorer.
Le Point
19.01.2010