Business : Si l’on jette un œil sur les correctifs récents pour Internet Explorer et Edge, on s’aperçoit vite de fortes similitudes. Les errements de sécurité d’IE vont-ils continuer de hanter le nouveau navigateur de Microsoft ?
Par La rédaction de ZDNet.fr |
Microsoft Edge doit apporter des améliorations considérables en matière de sécurité du navigateur, surtout vis-à-vis d’un Internet Explorer objet de toutes les turpitudes sur ce point. Reste que des éléments récents amènent à reconsidérer cet argument marketing de Microsoft. Au point de se demander si Edge est un pas en avant en matière de sécurité. Ou le contraire.
 
Microsoft Edge, le digne héritier des errements de sécurité d’Internet Explorer ?

C’est le journaliste Woody Leonhard qui lève le lièvre pour InfoWorld. En mai dernier le senior program manager de Micrsoft Edge, Crispin Cowan, annonçait plein d’optimisme dans un billet de blog titré « Microsoft Edge : construire un navigateur plus sûr » que : « Avec Microsoft Edge, nous voulons améliorer fondamentalement la sécurité par rapport aux navigateurs existants et permettre aux utilisateurs de profiter en toute confiance du web à partir de Windows. Nous avons conçu Microsoft Edge de manière à protéger les utilisateurs d’attaques sophistiquées et de plus en plus répandues. »
L’article décrit ensuite longuement comment Edge est bien meilleur que le daté et décidément bien mauvais IE, car il inclut « des techniques de sandboxing de pointe, un compilateur, et des techniques de gestion de mémoire développées en lien étroit avec Windows ». En particulier, il nous a été promis que Edge serait un bien meilleur partenaire contre les sites malveillants et les faux sites; qu’il en serait fini de ActiveX, du VB Script (Visual Basic Scripting Edition), des barres d’outils, des BHO (Browser Helper Object) ou encore du VML (Vector Markup Language). Edge doit également proposer des extensions sécurisées, des containers applicatifs en mode sandbox, ou encore une poubelle MemGC afin de protéger contre des attaques « user-after-free ». On note enfin la présence revendiquée de la fonctionnalité Visual Studio’s Control Flow Guard (/guard), et d’un tas d’autres options de sécurité.
Mais en regardant le Patch Tuesday de début décembre, mais aussi celui de novembre, on peut se demander à quel point ces nouveaux outils de sécurité ne sont pas tout simplement factices, et à quel point la fondation sur laquelle repose Edge n’est pas en tout point pourrie.
En cause, les Common Vulnerabilities and Exposures, dites CVE. Il s’agit d’un dictionnaire contenant les informations publiques relatives aux vulnérabilités de sécurité. Ce document est maintenu par l’organisme MITRE, soutenu par le département de la sécurité intérieure des États-Unis. Chaque entrée de CVE est censée identifier une faille de sécurité unique. Et le chevauchement des CVE d’Internet Explorer et des CVE de Edge montre que de nombreux problèmes de sécurité de Edge ont été hérités d’IE.

Par exemple, le Patch Tuesday de décembre contient une release nommée MS15-124, qui est une mise à jour cumulative pour Internet Explorer, et un correctif nommé MS15-125, qui s’attaque aux mêmes problèmes pour Microsoft Edge. Sur les 15 failles de CVE reliées à Edge, 11 correspondent également un des problèmes détectés dans IE. En regardant le Patch Tuesday de novembre, les quatre CVE fixées par le correctif MS15-113 pour Edge ont également été identifiés comme des problèmes à résoudre avec le correctif MS15-112 pour IE.
Tout ceci ne peut être une coïncidence explique Woody Leonhard. Quand on compare la liste officielle des CVE pour Edge et que l’on la compare avec la liste des CVE pour Internet Explorer, il s’avère que 14 CVE sont identifiées pour Microsoft Edge. Et sur ce nombre, 13 sont également identifiées comme des failles de sécurité pour Internet Explorer. De toute évidence, Edge améliore la sécurité de la navigation Internet dans un grand nombre de domaines. Mais il est bon de se demander combien des problèmes d’Internet Explorer vont continuer à fuiter via ce nouveau navigateur.
A lire également : Windows 10 – Vous avez le choix : installer l’OS maintenant ou… maintenant !

L’avenir des langages C et C++ pourrait bien être chamboulé par l’arrivée de Rust sur le devant de la scène.
Sujet: Microsoft Microsoft Edge Internet Explorer
Par La rédaction de ZDNet.fr |
Microsoft lancera ses nouveaux ordinateurs Surface le 12 octobre
23/09/2022
Windows 11 version 22H2 : qu'attendre de la nouvelle mise à jour de Microsoft
22/09/2022
Microsoft imagine la prochaine génération d’applications
21/09/2022
Tout savoir sur la nouvelle mise à jour de Windows 11, 22H2
21/09/2022
NordPass : la solution pour ne plus s’embêter avec les mots de passe
Le cloud hybride, levier de rentabilité pour les PME
Protégez votre messagerie et bénéficiez de 3 mois offerts
Un serveur sous mon bureau ?
Comment renommer plusieurs fichiers dans Windows avec PowerRename
21/09/2022
Comment utiliser l'outil de gestion SSH dans Chrome OS
20/09/2022
Comment créer plusieurs agendas Google (et pourquoi vous devriez le faire)
19/09/2022
Comment renommer votre téléphone Android pour faciliter la gestion du Bluetooth
16/09/2022
iOS 16 : voici comment modifier ou supprimer un iMessage
15/09/2022
Recevez le meilleur de l’actualité IT Pro chaque jour dans votre boîte mail
Nous sommes temporairement en mode de maintenance, ce qui signifie que vous ne serez pas en mesure de s’inscrire à une newsletter. S’il vous plaît vérifier à nouveau peu de temps pour reprendre le processus d’abonnement. Merci pour votre patience.
Optimisez le potentiel de vos équipes pour le travail hybride

Voir le livre blanc
Nous accompagnons les PME dans leur développement IT. Nous partageons avec vous nos témoignages clients, webinars, livres blancs…

5 dossiers IT à découvrir chaque mois
Télétravail, infrastructure, astuces, innovations…

Découvrez notre nouvelle rubrique
Après la cyberattaque, les données du Centre Hospitalier Sud Francilien dévoilées
26/09/2022
Tout savoir sur la mission DART menée par la NASA
26/09/2022
Comment des investigations françaises ont permis d’aboutir au déchiffrement de LockyGoga
23/09/2022
Apple pourrait fabriquer un quart de ses produits en Inde d'ici à 2025
22/09/2022
Rançongiciels : la to-do-list d’un nouveau groupe de travail américain
22/09/2022
7 points d’attention pour choisir un bon prestataire de datacenter
Copyright © 2022 ZDNET, A RED VENTURES COMPANY. ALL RIGHTS RESERVED. CUP Interactive SAS (France). Tous droits réservés.
Mentions légales | Conditions générales d’utilisation | Politique de protection des données personnelles | Cookies | Foire aux questions – Vos choix concernant l’utilisation de cookies | Paramétrer les cookies

source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *