Tout un symbole ?...

Publié le 20 janvier 2010 par Sid

A

limentée par une tonne d'avis plus ou moins éclairés sur la compromission de Google et quelques autres grosses boîtes, une gentille polémique médiatique commence à enfler autour de la faille qui affecte en ce moment Internet Explorer. Car ce que d'aucuns pensaient être initialement attribuable à une campagne d'exploitation de la dernière faille Acrobat, serait en fait partie d'un 0day sur le navigateur de Microsoft.

Parmi les nombreuses écrits diffusés sur le sujet, deux avis publiés à peu de heures d'intervalle par le BSI allemand et notre CERTA national ont semble-t-il retenu l'attention de pas mal d'observateurs, au point de se frayer un chemin jusqu'à la presse grand public, avec en point d'orgue le JT de 8h sur France 2. Mais comme souvent dans la vie, les choses ne sont pas aussi simples...

Car à prendre tous ces rapporteurs au pied de la lettre, on s'imagine un bulletin du CERTA qui nous déclarerait bien clairement qu'Internet Explorer est un outil déconseillé du fait de son manque de sécurité. Cela constituerait d'abord une première[1] et, pour paraphraser Nanard, ça serait sévèrement burnéu de leur part. Mais ce n'est pas ce qui a été publié. Forcément, se permettront d'ajouter certains esprits chagrins. Moi, je dis normal.

Quand on lit (vraiment) le bulletin d'alerte consacré à cette faille ou le bulletin d'actualité qui y fait référence, on ne trouve rien de tel. Ce qu'on y trouve, ce sont des solutions de contournement applicables jusqu'à la publication par Microsoft du patch qui va bien, laquelle vient d'être annoncée pour demain. Et juste avant des mesures visant à limiter l'impact de la faille comme la désactivation du JavaScript, l'activation du DEP ou l'utilisation d'un compte non privilégié, on va respectivement tomber sur :

Dans l'attente d'un correctif de l'éditeur, Le CERTA 
recommande l'utilisation d'un navigateur alternatif.

Et

Dans l'attente d'un correctif, il est préférable d'utiliser 
un navigateur alternatif.

Voilà. Effectivement, le CERTA recommande bien d'utiliser un autre navigateur, mais dans l'attente d'un correctif. Je n'appelle pas vraiment ça "déconseiller l'utilisation d'Internet Explorer". Pas de quoi surprendre le lecteur un minimum attentif donc, habitué à des publications factuelles et mesurées, comme elles se doivent de l'être[2]. Et ça le surprendra d'autant moins qu'il sera doué d'un minimum de mémoire, puisque c'est loin d'être la première fois que le CERTA recommande d'utiliser un navigateur alternatif dans pareille situation. Ce qui, objectivement et sans jugement aucun quant à la sécurité de l'outil, constitue un conseil on ne peut plus sage et efficace. Quant au BSI, si j'en crois mes maigres notions d'allemand, il dit en substance la même chose...

Mais quand je suis tombé sur le premier article annonçant ce revirement de position fantasmé, ce n'est pas aux implications techniques que j'ai pensé, mais au symbole que ça aurait représenté. Car s'ils avaient effectivement publié un tel d'avis, ce que d'aucuns se plaisent à vouloir nous faire retenir de l'affaire, le CERTA et le BSI auraient pris une position hautement symbolique, voire politique, et surtout lancé un message très lourd de sens. Il n'est en effet pas anodin pour un organisme gouvernemental de jeter ainsi l'opprobre sur un produit du marché. Et pas sans conséquence non plus, pour l'éditeur comme pour eux. Car au-delà de la pression qu'on se met en terme de qualité à vouloir ainsi jouer les redresseurs de torts, c'est également se placer dans un rôle de régulateur d'un marché, que de tenir de tels propos. Ce qui n'est pas forcément dans les attributions de ces organismes.

Et même si on se prendrait parfois à espérer qu'un organisme impartial, visible et respecté en arrive un jour à lancer ce genre de recommandation à l'attention de certains éditeurs qui, de mon point de vue, abusent un peu, il faut bien se rendre à l'évidence : ce n'est pas demain que ça devrait arriver. Même si, dans une jungle des produits de sécurité tous plus recommandés et/ou certifiés les uns que les autres, ça contribuerait probablement à faire un peu de ménage. Et par la même occasion, relever un peu le niveau général...

Notes

[1] Pour autant que je me souvienne.

[2] Pas de polémique ;)