Sale temps pour Internet Explorer. La faille critique découverte en avril dernier vient à peine d'être bouchée (y compris sur Windows XP) qu'une nouvelle arrive sur le devant de la scène. Elle touche IE8, qui équipe encore 20% des PC connectés à Internet, et permet à un hacker de prendre le contrôle à distance de la machine infectée via un lien malicieux.

Prévenu il y a sept mois, Microsoft n'a, à ce jour, pas apporté de solution. Contacté par 20 Minutes, l'entreprise précise qu'elle travaille actuellement sur un patch qui a pris du temps car «certains problèmes sont plus complexes que d'autres». Elle affirme également de pas avoir, pour l'instant, détecté d'exploitation de la porte dérobée. Dans l'immédiat, Microsoft conseille de changer les réglages sécurité d'IE8 sur «élevée» pour bloquer l'exécution de scripts (dans Outils > Options Internet > Sécurité).

IE8, la dernière version de Windows XP

La faille a été découverte par le chercheur belge Peter Van Eeckhoutte à l'automne dernier. Il a prévenu Microsoft en octobre. Il a ensuite attendu six mois pour laisser le temps à l'entreprise de réagir –une période standard dans l'industrie. Sans réaction de la part de Microsoft, il a publié ses recherches sur le site Zero Day Initiative de HP, mercredi. Il reste toutefois suffisamment vague pour ne pas donner de mode d'emploi à des hackers.

Pour être exploitée, la faille nécessite l'installation de code sur la machine de l'internaute. Le hacker doit pour cela réussir à le faire cliquer sur un lien envoyé via email ou messagerie instantanée, le redirigeant vers une page Web infectée.

Le problème, c'est que sous Windows XP, Internet Explorer s'est arrêté à la 8e édition: il n'est donc pas possible d'installer une version plus récente. Microsoft recommande de passer «à un OS moderne comme Windows 7 ou 8.1 pour utiliser la dernière version d'Internet Explorer» (IE 11). Il existe une solution moins coûteuse: installer Chrome ou Firefox, qui continuent, pour l'instant, d'être mis à jour sur Windows XP.