La nouvelle est rude pour Microsoft. Mais si la firme de Redmond affirme avoir ouvert une enquête basée sur des rapports de bug et même si elle a promis un correctif, aucun calendrier pour une éventuelle réparation de la faille n'a encore été fixé. Selon la firme de sécurité Rapid7, le bug non corrigé dans IE7, IE8 et IE9 peut être exploité sous Windows XP, Vista et Windows 7. Les experts incitent donc les utilisateurs d'IE à abandonner le navigateur. "Etant donné que Microsoft n'a pas encore publié de correctif pour cette vulnérabilité, les utilisateurs sont vivement invités à passer à d'autres navigateurs, tels que Google Chrome ou Mozilla Firefox, jusqu'à ce qu'une mise à jour de sécurité soit rendue disponible" déclare ainsi la firme dans un billet de blog. Mais éviter le navigateur pourrait ne pas être suffisant, de nombreuses applications s'appuient en effet sur le moteur d'IE pour le contenu HTML.

Un groupe de hackers bien connu des experts en sécurité

Eric Romang, contributeur fréquent à Metasploit, serait tombé sur l'exploit IE alors qu'il sondait l'un des serveurs dont se sert le gang de hackers "Nitro" qui avait déjà utilisé la faille zero-day de Java le mois dernier. Le gang Nitro a été découvert en juillet 2011, lorsque Symantec avait repéré le groupe dans une attaque ayant ciblé un nombre inconnu d'entreprises et infecté au moins 48 d'entre elles, dont beaucoup officient dans l'industrie chimique, de pointe et de la Défense. Si Symantec est finalement parvenu à la conclusion que les membres de Nitro opéraient depuis la Chine, les autorités du pays ont d'ores et déjà nié avoir participé aux attaques. Les attaques d'août 2012 exploitant la faille non corrigée de Java avaient poussé Oracle à émettre une de ses rares mise à jour "out-of-band». Apple avait également émis un correctif pour Java 6, la version étant utilisée par OS X Snow Leopard et OS Lion.

IE10 probablement touché par la faille

On ignore pour l'instant si la vulnérabilité trouvée est présente dans IE10, le navigateur fourni avec Windows 8, mais HD Moore, chef de la sécurité chez Rapid7 et créateur de Metasploit, a déclaré que lui et son équipe pensaient que oui. Moore a toutefois hésité à confirmer la responsabilité du groupe Nitro et a préféré comme Romang déclarer que d'autres possibilités existaient. "Plusieurs groupes peuvent partager ces failles et même se les transmettre lorsqu'ils ont fini de les utiliser", a-t-il dit. Il est également possible que le serveur web qui héberge le code de l'exploit IE ne soit tout simplement qu'un dépotoir, a ajouté M. Moore. "Peut-être que l'exploit IE a été mis sur ce serveur parce que les agresseurs ont déjà profité de celui-ci", spécule Moore. "Une façon de brouiller les pistes est de s'assurer qu'un exploit a été largement distribué une fois que vous n'en avez plus besoin".

Le prochain Patch Tuesday est prévue pour le 9 octobre, soit dans plus de trois semaines à compter d'aujourd'hui. Microsoft a toutefois la possibilité de fournir un patch avant. "Je pense que l'émission d'un patch dépendra en grande partie de ce que la firme aura a déclaré via l'alerte", a déclaré Andrew Storms, directeur des opérations chez Ncircle. Si Microsoft s'en tient à son procédé face aux failles zéro-day, la firme devrait faire publier un avis de sécurité aujourd'hui ou demain avec plus d'informations.