Microsoft et des experts en sécurité extérieurs à la firme ont déclaré que des pirates exploitaient une vulnérabilité dans Internet Explorer (IE) sous Windows XP et que le dernier Patch Tuesday livré mardi ne contenait aucun correctif pour résoudre le problème, conformément à l'arrêt de tout support pour l'ancien système. Le bug, identifié sous la référence CVE-2014-1815, est une des deux vulnérabilités critiques affectant IE6, IE7, IE8, IE9, IE10 et IE11 et corrigées par Microsoft mardi dernier. Dans l'avis de sécurité, l'éditeur fait remarquer que la vulnérabilité était connue et déjà exploitée par les pirates avant cette mise à jour. « Microsoft a connaissance d'attaques limitées qui tentent d'exploiter cette vulnérabilité dans Internet Explorer », reconnaît l'avis. Mais, parce que Windows XP ne bénéficie plus d'aucun support depuis le mois dernier, les utilisateurs sous XP n'ont pas reçu de mise à jour de sécurité pour IE, contrairement aux utilisateurs sous Windows Vista, Windows 7 et Windows 8.
Mardi également, Microsoft a réaffirmé qu'il ne corrigerait plus les nouveaux bugs affectant Windows XP. Pour montrer que sa décision était ferme et définitive - et que le patch d'urgence, livré le 1er mai pour corriger une vulnérabilité dans IE sous XP, était exceptionnel - un porte-parole de la firme de Redmond a déclaré : « La décision de mettre fin au support de Windows XP ne sera pas remise en question ». Initialement, Windows XP avait été livré avec IE6, mais au fur et à mesure, les utilisateurs sont passés aux versions IE7 et IE8. Cette version, vieille de 5 ans, est la dernière capable de tourner sur XP. Si l'ancien système mis au rancart était toujours pris en charge, les machines sous XP auraient certainement reçu la mise à jour. « C'est la première fois que Windows XP est exclu de la procédure », a déclaré hier par courriel Ross Barrett, directeur senior, responsable de l'ingénierie de sécurité chez Rapid7. « Les versions IE6, IE7 et IE8 pour Windows [Serveur] 2003 sont également vulnérables. Auparavant, elles tombaient dans le même champ d'application de correctifs que Windows XP, mais pas cette fois ». Comme le fait remarquer Ross Barrett, l'avis de sécurité indique que Microsoft Windows Server 2003 est concerné par cette vulnérabilité. Le support pour ce système court jusqu'au 14 juillet 2015 et il a bien été corrigé par le dernier Patch Tuesday.
Une vulnérabilité classée critique
La vulnérabilité CVE- 2014-1815 est une vulnérabilité « drive-by » standard qui peut être déclenchée en incitant les utilisateurs d'IE à visiter un site web malveillant ou compromis. Si un utilisateur se connecte à un tel site avec une version non corrigée d'Internet Explorer, l'exploit entre en action : il prend immédiatement le contrôle du PC et copie un logiciel malveillant sur le disque dur. Étant donné que les versions IE6, IE7 et IE8 de Windows XP ne seront pas corrigées, les utilisateurs resteront vulnérables à ces attaques sournoises à perpétuité. La plupart des professionnels de la sécurité invitent vivement ceux qui veulent conserver XP à opter pour d'autres navigateurs toujours éligibles à des mises à jour, comme c'est le cas de Chrome, de Firefox et d'Opera. Selon une enquête réalisée par nos confrères de Computerworld, les utilisateurs de XP peuvent considérablement réduire leur risque en abandonnant IE.
D'autres vulnérabilités corrigées par le dernier Patch Tuesday de Microsoft ne seront pas non plus appliquées à Windows XP. « Nous pouvons supposer que toute vulnérabilité affectant Windows Server 2003, affecte aussi Windows XP, et au minimum les vulnérabilités MS12-029 (IE), MS12-024 (ASLR), MS12-025 (Profil de Groupe) », a déclaré par courriel Wolfgang Kandek, CTO de Qualys. Ensemble, ces trois mises à jour de sécurité corrigent quatre vulnérabilités sur les 13 corrigées ce mois-ci par le Patch Tuesday. Microsoft propose des solutions de contournement aux utilisateurs qui ne peuvent se passer d'IE. Selon l'éditeur, elles permettent de contrer les attaques, y compris celles visant le navigateur quand il tourne sous Windows XP. « Mais, ces solutions peuvent rendre l'accès à certains sites impossible », a averti Microsoft. Les instructions de contournement sont expliquées dans l'avis de sécurité MS14-029. Pour se protéger, les utilisateurs peuvent aussi déployer l'Enhanced Mitigation Experience Toolkit (EMET), un outil anti-exploit gratuit fonctionnant sous XP. La version 4.1 de EMET peut être téléchargée à partir du site web de Microsoft.
La vulnérabilité CVE-2014-1815 a été signalée à Microsoft par Clément Lecigne, un ingénieur en sécurité travaillant dans le bureau suisse de Google. L'ingénieur avait fait la une des médias il y a trois mois : il avait reçu 10 000 dollars du nouveau programme Internet Bounty Bug (IBB) financé par Facebook et Microsoft pour une vulnérabilité critique trouvée dans Adobe Flash Player. Clément Lecigne avait fait don de la totalité de la prime à l'association à but non lucratif Hackers for Charity.