Après des années de déclin et une dernière liquidation au cours des 13 derniers mois, Microsoft a confirmé mercredi le retrait d’Internet Explorer, le navigateur Web de longue date et de plus en plus notoire de la société. Lancé en 1995, IE a été préinstallé sur les ordinateurs Windows pendant près de deux décennies et, comme Windows XP, Internet Explorer est devenu un pilier, au point que lorsqu’il était temps pour les utilisateurs de mettre à niveau et de passer à autre chose, ils ne le faisaient souvent pas. Et tandis que le jalon de la semaine dernière poussera encore plus d’utilisateurs hors du navigateur historique, les chercheurs en sécurité soulignent qu’IE et ses nombreuses vulnérabilités de sécurité sont loin d’avoir disparu.
Dans les mois à venir, Microsoft désactivera l’application IE sur les appareils Windows 10, guidant plutôt les utilisateurs vers son navigateur Edge de nouvelle génération, lancé pour la première fois en 2015. L’icône IE restera cependant sur les ordinateurs de bureau des utilisateurs, et Edge intègre un service. appelé “mode IE” pour préserver l’accès aux anciens sites Web conçus pour Internet Explorer. Microsoft affirme qu’il prendra en charge le mode IE jusqu’en 2029 au moins. dans ceux-ci aussi.
Sept ans après les débuts d’Edge, l’analyse de l’industrie indique qu’Internet Explorer pourrait encore détenir plus d’un demi pour cent de la part de marché mondiale totale des navigateurs. Et aux États-Unis, cette part peut être plus proche de 2 %.
“Je pense que nous avons fait des progrès, et nous ne verrons probablement pas autant d’exploits contre IE à l’avenir, mais nous aurons encore des restes d’Internet Explorer pendant longtemps dont les escrocs pourront profiter”, déclare Ronnie Tokazowski. , chercheur indépendant de longue date sur les logiciels malveillants et principal conseiller en matière de menaces au sein de la société de cybersécurité Cofense. “Internet Explorer en tant que navigateur aura disparu, mais il y a encore des morceaux qui existent.”
Pour quelque chose qui existe depuis aussi longtemps qu’IE, la rétrocompatibilité est difficile à équilibrer avec le désir d’une table rase. “Nous n’avons pas oublié que certaines parties du Web dépendent encore des comportements et des fonctionnalités spécifiques d’Internet Explorer”, a écrit mercredi Sean Lyndersay, directeur général de Microsoft Edge Enterprise, dans une rétrospective IE, pointant vers le mode IE.
Mais il a ajouté qu’il était vraiment nécessaire de recommencer avec Edge plutôt que d’essayer de sauver IE. “Le Web a évolué et les navigateurs aussi”, a-t-il écrit la semaine dernière. “Les améliorations incrémentielles d’Internet Explorer ne pouvaient pas correspondre aux améliorations générales du Web dans son ensemble, nous avons donc recommencé.”
Microsoft affirme qu’il prendra toujours en charge le moteur de navigateur sous-jacent d’IE, connu sous le nom de “MSHTML”, et il a un œil sur les versions de Windows encore “utilisées dans des environnements critiques”. Mais Maddie Stone, chercheur pour l’équipe de chasse aux vulnérabilités Project Zero de Google, souligne que les pirates exploitent toujours les vulnérabilités d’IE dans des attaques réelles.
“Depuis que nous avons commencé à suivre les 0-days dans la nature, Internet Explorer a eu un nombre assez constant de 0-days chaque année. 2021 a en fait égalé 2016 pour les jours 0 d’Internet Explorer les plus sauvages que nous ayons jamais suivis, même si la part de marché d’Internet Explorer sur les utilisateurs de navigateurs Web continue de diminuer », a-t-elle écrit en avril, faisant référence à des vulnérabilités jusque-là inconnues, appelées zéro-jours. “Internet Explorer est toujours une surface d’attaque mûre pour l’entrée initiale dans les machines Windows, même si l’utilisateur n’utilise pas Internet Explorer comme navigateur Internet.”
Dans son analyse, Stone a particulièrement noté que si le nombre de nouvelles vulnérabilités IE détectées par Project Zero est resté assez constant, les attaquants se sont déplacés au fil des ans pour cibler de plus en plus le moteur de navigateur MSHTML via des fichiers malveillants comme des documents Office entachés. Cela pourrait signifier que la neutralisation de l’application IE ne modifiera pas immédiatement les tendances d’attaque déjà en cours.
Étant donné à quel point il a été difficile de maîtriser Internet Explorer, les utilisateurs de Microsoft et IE du monde entier ont certainement parcouru un long chemin. Mais pour un navigateur qui est censé être mort, IE charge toujours beaucoup avec les vivants.