Internet Explorer bloquera les vieux contrôles ActiveX dès le 12 août

Microsoft a décidé de passer à la vitesse supérieure sur la protection d'Internet Explorer en appliquant une mesure que l'on a déjà vue par exemple chez Mozilla : le blocage de certains vieux plugins, plus précisément de contrôles ActiveX. Ce blocage débutera la semaine prochaine avec l'arrivée des mises à jour mensuelles.

Microsoft a décidé de passer à la vitesse supérieure sur la protection d'Internet Explorer en appliquant une mesure que l'on a déjà vue par exemple chez Mozilla : le blocage de certains vieux plugins, plus précisément de contrôles ActiveX. Ce blocage débutera la semaine prochaine avec l'arrivée des mises à jour mensuelles.Le 12 août sera décidément une date importante pour les mises à jour chez Microsoft. En plus du premier Update mensuel pour Windows 8.1, un patch appliquera à Internet Explorer un blocage par défaut des contrôles ActiveX qui seront jugés obsolètes. Ces contrôles sont des plugins qui ont été initialement créés pour fournir des capacités interactives au navigateur. Mais comme beaucoup d'autres composants à l'époque, ils n'ont pas été pensés avec la sécurité en tête. Sur Internet Explorer, la plupart des plugins classiques sont fournies sous la forme d'un contrôle ActiveX. C'était le cas de Flash pendant longtemps, avant qu'il ne soit directement intégré à Internet Explorer 10, exactement comme pour Chrome et Firefox. Une intégration aux conditions de Microsoft, c'est-à-dire dans un espace plus isolé qu'habituellement. Mais comme l'indique l'éditeur dans un billet de blog, Flash n'est pas le seul contrôle ActiveX et trop d'entre eux ne sont pas mis à jour.  À partir du 12 août donc, d'Internet Explorer 8 sur Windows 7 à Internet Explorer 11 sur Windows 8.1, les contrôles ActiveX trop anciens seront donc bloqués par défaut. Cela concernera surtout Java dont les mises à jour ne sont pas faites dans trop de cas. Quitte à mettre en place un blocage, autant d'ailleurs qu'il soit intelligent. Une barre apparaîtra ainsi en haut de l'écran, un peu à la manière de Firefox, pour que l'utilisateur puisse outrepasser cette décision. Mais le premier bouton proposé permettra surtout de se rendre sur le site officiel du contrôle pour en obtenir la version la plus récente. Et il faudra bien, car Internet Explorer va clairement militer pour la dernière mouture disponible de chaque plugin. Pour Java, toute utilisation d'une version autre que la plus récente provoquera l'affichage de la barre de blocage. Ainsi, si vous n'utilisez pas l'Update 65 de Java 7, l'Update 11 de Java 8 ou encore l'Update 81 de Java 6, vous verrez le fameux message.  Cette décision est alimentée chez l'éditeur par un constat simple. Durant l'année 2013, les attaques basées sur des failles Java ont représenté de 84,6 à 98,5 % de l'ensemble des attaques passant par des kits d'exploitation, en fonction des mois. Des failles sur lesquelles les créateurs de navigateurs, en dépit des technologies mises en place de leur côté, ne peuvent pas faire grand-chose. Notez que dans le cas de Java, et même si vous êtes un joueur invétéré de Minecraft, il est possible de désactiver le composant pour la navigation web, sans le désinstaller complètement (une simple option dans le panneau de contrôle Java). Ceux qui souhaitent en savoir plus pourront lire les explications complémentaires de Microsoft sur ce sujet (en anglais).