Introduction

Internet Explorer est le navigateur Web développé par Microsoft, actuellement le plus utilisé au monde. Il en existe à ce jour 8 versions, et une neuvième en préparation. Son nom officiel jusqu’à la version 7 était Microsoft Internet Explorer, désormais devenu Windows Internet Explorer.

Cet article ne traitera de l’évolution de la sécurité qu’entre les versions 6, 7 et 8, ces dernières étant les versions les plus utilisées d’Internet Explorer. La version 9 n’étant quant-à elle pas encore sortie, il est à ce jour impossible de comparer sa sécurité avec ses prédécesseurs.

Internet Explorer 6

Internet Explorer 6, officiellement appelé Microsoft Internet Explorer 6, est paru le 27 août 2001. Il s’agit du navigateur par défaut sur les systèmes d’exploitation Windows XP SP1 et Windows Serveur 2003. À ce jour, il n’est soutenu que sur Windows XP SP3, même s’il existe encore des versions compatibles pour des systèmes d’exploitation antérieurs comme Windows 98, SE, 2000 et NT 4.0.

Ce navigateur est aujourd’hui connu pour ses nombreuses failles de sécurité. En effet, lors de sa sortie, ce navigateur n’intégrait que très peu la notion de sécurité. Le principal défaut de conception au niveau de la sécurité est qu’il possède les mêmes privilèges que le compte d’utilisateur avec lequel il est lancé. Cela se traduit par la possibilité d’installer n’importe quel logiciel malveillant si le compte d’utilisateur possède le niveau d’accès suffisant, ainsi que par la possibilité pour les scripts malveillants d’effectuer n’importe quelle opération critique si le compte a les habilitations.

D’autre part, le modèle de configuration de la sécurité dans Internet Explorer se base sur un système de zones. On peut ainsi trouver 4 zones : Internet, Intranet Local, Sites de Confiance et Sites sensibles. À chacune de ces zones correspondent des règles de sécurité, telles que l’autorisation d’accès au système de fichier local. Cela pose un problème de sécurité car rien ne prouve que les sites soient catégorisés correctement. De plus, cela est en contradiction totale avec un des principes essentiels de la sécurité qui consiste à donner le minimum de privilèges possibles.

Figure 1 : Système de zones

Cependant, la faille de sécurité principale d’Internet Explorer 6 était le lancement immédiat des contrôles ActiveX présents sur les sites web. Cela signifie donc que tous les scripts d’accès au système local se lançaient sans la moindre confirmation de l’utilisateur. Il était ainsi possible de gérer les fichiers sur le système local, d’exécuter n’importe quel programme ou script malveillant ou même d’effectuer diverses actions telles que le spam ou le déni de service depuis n’importe quel ordinateur naviguant sur Internet Explorer. De plus, un bloqueur de fenêtre n’a été intégré que plusieurs années après sa sortie.

En outre, Internet Explorer 6 ne respecte pratiquement aucune des normes W3C, que ce soit au niveau du HTML, du CSS, du JavaScript ou du DOM. Ainsi, certaines propriétés ou méthodes présentes dans Internet Explorer 6 permettaient aux pirates d’effectuer des tâches malveillantes. Un autre risque découlant de cette absence de respect des normes se situait dans la mauvaise interprétation des types MIME des contenus présents dans les sites web, permettant de substituer un type de contenu à un autre.

Pour finir, il convient d’ajouter qu’Internet Explorer 6 ne prenait pas en charge le protocole SSL, donc il était impossible de s’assurer qu’une connexion était sécurisée. C’était donc la porte ouverte à tous types d’hameçonnages et usurpations d’identités.

Internet Explorer 7

Internet Explorer 7, désormais Windows Internet Explorer 7 est sorti le 18 octobre 2006 soit un peu plus de 5 ans après son prédécesseur. Il s’agit du navigateur par défaut sur la version SP2 de Windows XP et de Windows Serveur 2003, mais également sur les premières versions de Windows Vista et Windows Serveur 2008.

Lors de sa sortie, l’un des mots d’ordre principaux était la correction des nombreuses failles de sécurité d’Internet Explorer 6. Ainsi, la faille principale qui consistait en l’exécution des contrôles ActiveX a reçu une correction complète. En effet, l’exécution d’un contrôle ActiveX est désormais désactivée par défaut, et ne s’effectue qu’après confirmation de l’utilisateur grâce à une barre s’affichant sous la barre d’onglets (nouveauté par rapport à IE6). D’autre part, chaque exécution d’un contrôle ActiveX génère un nouveau processus avec des droits beaucoup plus limités, empêchant ainsi de se baser sur les droits du compte d’utilisateur sur lequel était lancé Internet Explorer.

Figure 2 : Protection des Contrôles ActiveX

Par ailleurs, le système des zones, bien qu’ayant été conservé, a été légèrement revu puisqu’il est désormais possible de configurer des options générales de sécurité à l’aide d’un panneau de configuration spécifique d’Internet Explorer 7. Ceci permet donc d’établir des règles plus personnalisées et de mieux gérer la sécurité dans son ensemble.

Une autre facette de l’amélioration de la sécurité réside dans l’ajout d’un filtre anti-hameçonnage, même si celui-ci est malheureusement aisément contournable et apporte donc un faux sentiment de sécurité aux utilisateurs. Ce filtre permet d’afficher des avertissements de sécurité lors d’accès à des sites potentiellement malveillants ou lors de l’accès à certaines ressources par des scripts. Une liste de sites malveillants sur laquelle s’appuie ce filtre est soutenue et mise à jour plusieurs fois par heure par Microsoft.

Internet Explorer 7 intègre également une sécurisation anti-pop-up, qui empêche l’ouverture et la fermeture de fenêtres par des scripts malveillants, ainsi qu’une sécurisation des cookies qui ne peuvent plus désormais être lus ou modifiés par des scripts malveillants.

D’autre part, le support des standards du web s’est grandement amélioré dans Internet Explorer 7, même s’il subsiste encore des erreurs d’interprétations pour le HTML, le CSS ou le DOM.

L’ajout du protocole SSL dans Internet Explorer 7 contribue également à le rendre plus sécurisé en s’assurant par l’intermédiaire de certificats que le site sur lequel on se situe n’est pas usurpé.

Globalement, Internet Explorer 7 a donc apporté une grande amélioration du point de vue sécurité comparé à son prédécesseur.

Internet Explorer 8

Internet Explorer 8, officiellement Windows Internet Explorer 8 est sorti le 19 mars 2009. Il est disponible sur tous les systèmes d’exploitation Windows à partir de XP et Serveur 2003, et il est fourni comme navigateur par défaut pour Windows 7 et Windows Serveur 2008 R2. C’est également la première version d’Internet Explorer à être disponible en architecture 64 bits en plus de l’architecture 32 bits.

Avec la nette progression de la sécurité dans Internet Explorer 7, Internet Explorer 8 n’intègre quant-à lui que quelques améliorations de ce côté-là. Ainsi, le filtre anti-hameçonnage désormais nommé SmartScreen permet à l’utilisateur d’être informé par l’intermédiaire de la barre de navigation des risques potentiels liés à la navigation sur certains sites.

Une petite amélioration a aussi été ajoutée au niveau de la barre de navigation. En effet, la coloration syntaxique des URL a été mise en place pour permettre à l’utilisateur d’identifier visuellement le nom de domaine du site sur lequel il navigue pour en vérifier l’identité (le nom de domaine est en noir, tandis que le reste de l’URL est en gris).

Figure 3 : Améliorations de la sécurité sur IE 9

Par ailleurs, un nouveau filtre de scripts intersites (XSS – cross-site scripting) permet de détecter l’exécution de scripts malveillants sur les sites web.

Pour finir, le principal point de progression de la version 8 d’Internet Explorer réside dans sa conformité aux standards W3C, bien que ce ne soient pas forcément les plus récents. Toutefois, la présence de mode de compatibilité d’affichage présente une faille par le fait qu’elle permet de retrouver les modes d’affichages des versions antérieurs d’Internet Explorer et donc les failles qui vont avec.

Conclusion

En conclusion, on peut dire que la sécurité qui était l’un des points faibles d’Internet Explorer est un sujet traité avec sérieux chez Microsoft. On constate en effet une nette amélioration dans chacune des versions, ainsi que de nombreuses mises à jour corrigeant des failles disponibles sur Windows Update.

Il convient même d’ajouter qu’Internet Explorer 8 a obtenu la certification Trusted Application par l’organisme allemand TÜV, grand nom en matière de sécurité, et que plusieurs tests saluent les performances d’Internet Explorer 8 en matière de sécurité.

Toutefois, l’évolution ne s’arrête pas là, car avec la sortie imminente d’Internet Explorer 9, les internautes sont en droit d’attendre une navigation plus sûre et qui respecte les dernières normes des standards web.