Vous êtes sur le site public du Cert-IST
Communiqué de presse sur les vulnérabilités non encore corrigées d'Internet Explorer

Date :20 Juin 2005

Publication: Article

Le Cert-IST a alerté ses membres adhérents sur les risques encourus actuellement, liés à l'utilisation du navigateur Internet Explorer (IE) sur les postes les plus " sensibles ".

Gentilly, le 30 Juin 2004 – Le Cert-IST (Computer Emergency Response Team : Industrie, Services, Tertiaire), créé en 1999 par un consortium de quatre grandes entreprises françaises, est un centre d’alerte et de réaction aux attaques informatiques.

Depuis une semaine, les spécialistes de la sécurité commentent une attaque informatique coordonnée qui, utilisant des failles des serveurs IIS pour " compromettre " des sites Web courants, permettait ensuite de télécharger sur le poste de l’utilisateur final un code malicieux (" scob "), le mettant à la merci d’un serveur localisé en Russie et susceptible d’exploiter la porte dérobée ainsi créée pour de l’espionnage ou du relais de SPAM.

" Full disclosure " et bulletins de sécurité

Jusque-là, rien de nouveau : le Cert-IST émet 400 avis de sécurité par an sur des vulnérabilités / des failles de sécurité et des virus. Un certain nombre ont déjà porté sur des infections par ver dues à la navigation sur un site Web compromis.

Cependant, conformément à sa politique de divulgation des failles, le Cert-IST n’émet des avis de sécurité que lorsqu’une parade est connue et disponible, ou lorsque l’attaque est suffisamment publique pour que la divulgation de l’information protège les victimes plus qu’elle ne les met en danger. (NB : le code source de " scob " est actuellement sur Internet).

La faille Internet Explorer sera exploitée tant qu’elle ne sera pas corrigée

Microsoft lui-même a dû émettre un " statement " sur cette faille pour expliquer l’incident, et proposer des palliatifs plus ou moins complexes en attendant un véritable correctif.

Le Cert-IST invite les utilisateurs et les RSSI à appliquer ces recommandations.

Cependant le Cert-IST invite les Responsables de la Sécurité du Système d’Information des Entreprises Françaises à effectuer une analyse de risque sur les postes de travail dont ils ont la charge, et à s’interroger sur l’utilisation, pour la navigation sur le Web, d'Internet Explorer sur les PC dits sensibles. Sans rentrer dans la querelle logiciel libre vs Microsoft, et en prenant acte de la nécessité d’installer Internet Explorer pour accéder aux applications d’entreprise telles que SAP, l'utilisation temporaire d'un autre navigateur qui cohabite parfaitement avec IE sur le même poste peut être un palliatif à la situation actuelle tant que Microsoft n'aura pas publié l'ensemble des correctifs attendus.

L’alerte du Cert-IST en texte intégral :

http://www.cert-ist.com/francais/avis/alerte_IE_scob_fr.htm

Le statement Microsoft :

http://www.microsoft.com/france/securite/incident/download_ject.asp?SD=GN&LN=EN-US&gssnb=1

A propos du Cert-IST

Le Cert–IST (Computer Emergency Response Team, Industrie Services & Tertiaire) est un acteur international de la sécurité informatique, membre reconnu du FIRST (1) et s’appuie sur un réseau mondial de plus de 150 autres Certs.

Le Cert-IST s’est constitué en association de loi 1901 le 6 mars 2003 (publiée au JO le 26 avril 2003). Cette nouvelle organisation renforce la pérennité du Cert-IST et en garantit l’indépendance.

Le comité de pilotage est constitué de représentants des sociétés suivantes :
le Centre National d’Etudes Spatiales, Alcatel, France Télécom, Sanofi-Synthélabo.

L’activité du Cert-IST est décrite en détail sur le site Web www.cert-ist.com.

(1) FIRST =Forum for Incident Response and Security Teams, www.first.org

Contacts Presse Cert-IST

Yvon Klein / Président de l’association

Tel : +33 (0)5 34 35 33 88

Mail : president@cert-ist.com