Microsoft a décidé de passer à la vitesse supérieure sur la protection d’Internet Explorer en appliquant une mesure que l’on a déjà vue par exemple chez Mozilla : le blocage de certains vieux plugins, plus précisément de contrôles ActiveX. Ce blocage débutera la semaine prochaine avec l’arrivée des mises à jour mensuelles.
Le 12 août sera décidément une date importante pour les mises à jour chez Microsoft. En plus du premier Update mensuel pour Windows 8.1, un patch appliquera à Internet Explorer un blocage par défaut des contrôles ActiveX qui seront jugés obsolètes. Ces contrôles sont des plugins qui ont été initialement créés pour fournir des capacités interactives au navigateur. Mais comme beaucoup d’autres composants à l’époque, ils n’ont pas été pensés avec la sécurité en tête.
Sur Internet Explorer, la plupart des plugins classiques sont fournies sous la forme d’un contrôle ActiveX. C’était le cas de Flash pendant longtemps, avant qu’il ne soit directement intégré à Internet Explorer 10, exactement comme pour Chrome et Firefox. Une intégration aux conditions de Microsoft, c’est-à-dire dans un espace plus isolé qu’habituellement. Mais comme l’indique l’éditeur dans un billet de blog, Flash n’est pas le seul contrôle ActiveX et trop d’entre eux ne sont pas mis à jour.
À partir du 12 août donc, d’Internet Explorer 8 sur Windows 7 à Internet Explorer 11 sur Windows 8.1, les contrôles ActiveX trop anciens seront donc bloqués par défaut. Cela concernera surtout Java dont les mises à jour ne sont pas faites dans trop de cas. Quitte à mettre en place un blocage, autant d’ailleurs qu’il soit intelligent. Une barre apparaîtra ainsi en haut de l’écran, un peu à la manière de Firefox, pour que l’utilisateur puisse outrepasser cette décision. Mais le premier bouton proposé permettra surtout de se rendre sur le site officiel du contrôle pour en obtenir la version la plus récente.
Et il faudra bien, car Internet Explorer va clairement militer pour la dernière mouture disponible de chaque plugin. Pour Java, toute utilisation d’une version autre que la plus récente provoquera l’affichage de la barre de blocage. Ainsi, si vous n’utilisez pas l’Update 65 de Java 7, l’Update 11 de Java 8 ou encore l’Update 81 de Java 6, vous verrez le fameux message.
Cette décision est alimentée chez l’éditeur par un constat simple. Durant l’année 2013, les attaques basées sur des failles Java ont représenté de 84,6 à 98,5 % de l’ensemble des attaques passant par des kits d’exploitation, en fonction des mois. Des failles sur lesquelles les créateurs de navigateurs, en dépit des technologies mises en place de leur côté, ne peuvent pas faire grand-chose. Notez que dans le cas de Java, et même si vous êtes un joueur invétéré de Minecraft, il est possible de désactiver le composant pour la navigation web, sans le désinstaller complètement (une simple option dans le panneau de contrôle Java).
Ceux qui souhaitent en savoir plus pourront lire les explications complémentaires de Microsoft sur ce sujet (en anglais).
Commentaires (64)
Ouuuuh je sais pas combien de sites d’asie de l’est vont tomber
" />
C’est une bonne chose.
Surtout qu’avec le HTML5, certaines fonctionnalités des plugins ne sont plus nécessaire. Enfin, beaucoup de plugins n’ont pas de version pour smartphones, alors autant que les développeurs web s’en passent.
Cette option sera désactivable pour les entreprises?
JVachez va pleurer
" />
" />
" />
edit : grilled
Oh sinon, je viens de capter le sous titre. Joli
" />
decidement microsoft aura toujours un train de retard avec google
ce qui me fait penser que j’ai régulièrement java qui me signale une màj, je lance, et “ah non vous avez déjà la dernière version”
" />
" />
c’est une bonne chose pour IE, faut juste que la comm autour soit pas trop obscure
Ca me fait penser au sketch de Anne Roumanoff : v’la que l’ordinateur veut plus bosser parce qu’il se sent out of date
" />
Warning, If you don’t trust, Allow, Don’t allow => pfiuu ça a l’air dangereux l’informatique !
Et si l’utilisateur n’as pas les droits admin du poste, ça se passe comment pour mettre à jour les plugins ?
Prochaine mise à jour de sécurité IE : désactivation d’IE !
" />
Je suppose que cela sera sans effet sur les ActiveX maisons des entreprises, pour celles qui en ont (les folles) .
" />
Voila une nouvelle qui va amener du boulot aux services d’assistance, et je ne peut que m’en réjouir
J’ai jamais très bien compris la particularité des ActiveX, j’entends tout le monde les remettre en cause mais en gros, c’est ce que permet de faire ce que l’on appelle les plugins dans les autres navigateurs il me semble?
" />
Je pense que c’était activex vs html.
Mais niveau plugin java vs activex tu gagnes sur le nombre de plate-formes compatibles.
Oui mais pour un intranet en full Windows tu te compliques la vie à devoir gérer les maj java et les différentes versions de JVM.
(PS: un applet java n’est pas forcement multiplateforme… Lorsqu’il tourne avec des privileges elevés il peut acceder à du code natif).
A partir de Janvier 2016, Microsoft ne supportera plus que la dernières versions d’IE disponible pour ses plateformes encore en support :
IE 8 (21% de pdm) ne sera plus supporté alors qu’il peut être installé sur Vista qui lui sera encore en support étendue.
IE 9 (9% de pdm) sera supporté sur Windows Vista (SP2 et +) et Windows Server 2008 (SP2 et +). (La fin de support de Windows Vista est pour 2017).
IE 10 (6% de pdm) sera uniquement supporté sur Windows Server 2012.
Seul IE11 sera supporté sur Windows 7 et 8.x
Coté .NET :
Le support de .NET 4, 4.5, 4.5.1, et 4.5.2 continue jusqu’au 12 Janvier 2016.
Après seul le framework .Net 4.5.2 sera supporté.
Il n’y a pas de changement concernant les autres version du Framework .NET notamment .NET 3.5 SP1, qui sera supporté aussi longtemps que le système d’exploitation sur lesquels ils tournent.
Source
Gros changement pour le monde de l’entreprise … Je ne sais pas comment ca va être pris par les DSI meme si comme rappelé par jmanici, IE11 possède un mode de compatibilité IE8.
Et y’à aussi le problème des gens qui reste bloqués sur une ancienne version d’IE suites à un obscur code d’erreur dans Windows Update…
Alors que côté Firefox et Chrome dans le pire des cas on desinstalle, on efface le profil et le problème est réglé…
J’espère que les rumeurs de réécriture du bureau avec des techno moderne vont permettre de véritablement détacher IE du système quitte à avoir les moteur de rendu et javascript en double (l’un propre au système et aux apps WinRT et l’autre ne servant qu’à IE et pouvant être updaté facilement).