Samedi, Microsoft a fait savoir que des cybercriminels exploitaient déjà une vulnérabilité critique non corrigée dans Internet Explorer (IE). Les attaques sont de type « drive-by ». « Microsoft a connaissance d'attaques limitées et ciblées qui tentent d'exploiter une vulnérabilité dans les versions 6 à 11 d'Internet Explorer », indique l'éditeur dans son avis de sécurité. Selon la firme de Redmond, ces attaques ont été lancées contre des utilisateurs d'IE dirigés vers des sites web malveillants. Ces attaques « drive-by » sont parmi les plus dangereuses, car il suffit que l'utilisateur accède à une URL pour que son navigateur soit piraté.

Toutes les versions d'Internet Explorer qui bénéficient actuellement d'un support sont exposées, y compris la version 6 d'IE datant de 2001, qui bénéficie toujours de mises à jour via Windows Server 2003. Mais, cette même version ne sera pas corrigée sous Windows XP, qui ne bénéficie plus d'aucun support depuis le 8 avril. Cette faille dans IE est la première à affecter XP depuis sa mise à la retraite. Ce n'est pas anodin. En effet, Microsoft va corriger le bug dans IE6, IE7 et IE8, puis livrer son correctif pour les PC sous Windows Vista et Windows 7. Si bien que les pirates pourront sans doute identifier la faille dans le code des navigateurs et l'exploiter sur les mêmes navigateurs sur des PC tournant sous Windows XP. Microsoft avait prévenu que c'était l'un des plus grands risques auquel s'exposaient ceux qui continuaient à utiliser XP depuis sa mise à la retraite. L'an dernier, l'éditeur avait déclaré que XP avait 66 % de chances en plus d'être infecté par des malwares à partir du moment où le support cesserait.

Désenregistrer le fichier vgx.dll

Les utilisateurs de Windows XP peuvent compliquer un peu la tâche des attaquants qui tenteraient d'exploiter la faille d'IE en installant l'outil « Enhanced Mitigation Experience Toolkit 4.1 » (EMET) disponible sur le site de Microsoft. L'avis de sécurité détaille d'autres mesures permettant de limiter les risques, par exemple « désenregistrer » le fichier vgx.dll. Cette bibliothèque de liens dynamiques .dll est un des modules utilisés par Windows et IE pour le rendu de graphismes vectoriels (VML ou Vector Markup Language). Les utilisateurs de Windows XP peuvent aussi éviter les attaques contre IE en optant pour un autre navigateur, Google Chrome ou Firefox de Mozilla, qui continueront à recevoir des mises à jour de sécurité pendant les 12 prochains mois au moins.

Microsoft n'a pas explicitement promis de livrer un correctif, mais il est presque sûr que ce sera le cas. Le prochain Patch-Tuesday est programmé pour le mardi 13 mai, soit dans un peu plus de deux semaines. La firme de Redmond s'est toujours montrée très réticente à livrer des correctifs d'urgence « out-of -band » ou « hors calendrier ». Mais Microsoft se donne le droit de déroger à la règle si le nombre d'attaques venait à augmenter rapidement. Actuellement, toutes les versions IE6 à IE11 sont vulnérables, mais d'après l'entreprise de sécurité FireEye, seules les versions 9,10 et 11 ont été activement ciblées par des exploits. Samedi, FireEye a livré plus d'informations sur la campagne d'attaques en cours, nommée « Operation Clandestine Fox ». Sur son blog, l'entreprise de sécurité parle de faille « zero-day importante » et explique que les exploits actuels reposent en partie sur le Player Flash d'Adobe. « La désactivation du plug-in Flash dans IE empêche l'exploit de fonctionner », affirme FireEye.

L'entreprise de sécurité pense que le groupe de hackers à l'origine des attaques contre IE est un gang sophistiqué qui a déjà commis des attaques sur le navigateur de Microsoft par le passé. « Le groupe APT à l'origine de ces attaques est le premier à avoir mis au point des exploits « zero-day » contre les navigateurs Internet Explorer, Firefox et Flash », a affirmé de son côté Firefox.