Situation explosive pour Internet Explorer : une faille critique non corrigée est désormais confirmée par un code d'exploitation lâché dans la nature. La vulnérabilité permettrait la prise de contrôle de l'ordinateur à la simple visite d'un site web piégé. Elle a maintenant toutes les chances d'être largement utilisée par les escrocs du web pour installer spywares, adwares et autres robots zombies en quantités industrielles. Une vulnérabilité non corrigée capable d'offrir le contrôle de l'ordinateur à la seule visite d'un site web est déjà un souci majeur. Mais lorsqu'un groupe de pirates décide de publier son mode d'emploi sur Internet, la situation devient franchement explosive. Et c'est précisément ce qui est en train de se passer pour Internet Explorer. Découverte en mai dernier, la vulnérabilité a d'abord été considérée comme mineure, car elle ne permettait que de faire « planter » le navigateur. Microsoft n'avait, semble-t-il, même pas jugé nécessaire de la corriger. Mais voilà qu'aujourd'hui les squelettes sortent du placard : un groupe de pirates vient d'annoncer que cette faille est beaucoup plus grave que ne le pensait l'éditeur. Et pour le prouver, il vient de publier un code d'exploitation fonctionnel capable de prendre le contrôle de l'ordinateur à la seule visite d'un site web piégé. En l'absence de tout correctif disponible, Internet Explorer est donc à nouveau une cible toute désignée pour les mafias du web, qui vivent de l'installation sauvage de logiciels publicitaires ou de robots (les fameux bots chargés de créer un réseau de PC zombies qui seront ensuite loués pour l'envoi de spam ou l'attaque de sites web commerciaux). L'impact de cette vulnérabilité pourrait être particulièrement sévère. Seul motif de réconfort : il n'y a actuellement aucune vulnérabilité serveur exploitable en parallèle. Les sites web piégés devraient donc se limiter à ceux que contrôlent déjà les escrocs. L'on devrait ainsi pouvoir éviter une attaque massive à la façon de Scob.
