En début d’année, Microsoft a prévenu les internautes qu’utiliser Internet Explorer comportait des risques : le navigateur n’est plus mis à jour et cumule les failles de sécurité. Il y aurait donc des irréductibles qui utilisent encore IE ?
Internet Explorer est le navigateur d’un temps que les internautes de moins de 20 ans ne peuvent pas connaître. Délaissé depuis une dizaine d’années au profit de Firefox puis de Chrome, on pensait IE sacrifié sur l’autel des (nombreuses) stars déchues du numérique. Au point d’être devenu une blague geek populaire : alors qu’il se désole et demande « what is my purpose? », IE s’entend répondre « you download Chrome ». La messe est dite.
Au bac de philo y’a un mec il est tombé sur le sujet « Qu’est ce que l’audace ? » il a répondu « J'ai utilisé Chrome pour installer Internet Explorer ». Il a eu 20.
— Internet Explorer (@intrnetexp) 18 juin 2019
Et pourtant, nous sommes en 2019 et de nombreuses entreprises utilisent encore Internet Explorer pour leurs applications web internes. Excentricité ? Résistance acharnée à l’empire Alphabet ? Non. Si les entreprises utilisent encore IE, c’est essentiellement par habitude ou par manque de moyens de migrer. Et par manque de conscience cyber…
Apogée et chute d’Internet Explorer
« Pour comprendre, il faut remonter à l’avènement d’IE 6, en 2001. Il y a vingt ans, IE était à peu près le seul navigateur qui existait parce qu’il était fourni avec Windows, rappelle Robert Wakim, Offers Manager Stormshield. Au même moment, le développement web et ses technologies associées, comme javascript et css, sont tout juste émergents. On n’a pas encore de standard et Microsoft se sert de sa plateforme IE pour permettre à ses partenaires de fournir des applications tierces à ses clients. » Vous connaissez l’expression mettre tous ses œufs dans le même panier ? Les entreprises développent alors des applications internes qui reposent entièrement sur Internet Explorer et utilisent les mécaniques internes à IE, non standardisées. Elles ne le savent pas encore, mais la bataille des navigateurs qui va suivre va impacter leur activité.
Vingt ans plus tard, le tiercé de tête des navigateurs web est chamboulé par l’arrivée successive de Firefox (2002) et Chrome (2008), venus mettre fin à l’hégémonie d’IE. Aujourd’hui, Chrome est le premier navigateur utilisé dans le monde (67,88% de parts de marché en mars 2019, 63,29% en France en février 2019), suivi de Firefox (9, 27% en mars 2019, 14,31% en France en février 2019). Bien loin de son hégémonie passée, Internet Explorer plonge à 7,34% (autour de 5% en France, source : ZDNet). Résultat : les entreprises qui ont bâti leur écosystème interne sur IE héritent d’applications qui ne sont pas exploitables sous d’autres navigateurs. « On se retrouve avec deux versions d’applicatifs web : la version standardisée pour tout le monde et la version propriétaire pour IE 6 et pour Microsoft. Dans une perspective de cybersécurité, cela pose de vrais problèmes puisque cela oblige les utilisateurs de ces applications à avoir IE 6 ou avoir un IE de la bonne version installé sur leur machine », prévient Robert Wakim. Or, ces versions ne sont plus mises à jour. Sans compter que Microsoft a décidé à en finir avec son navigateur.
RIP IE ?
En février dernier, dans un billet intitulé « Les périls d’utiliser Internet Explorer comme votre navigateur internet par défaut », publié sur le blog officiel de Microsoft, Chris Jackson prévenait que « Internet Explorer n’est pas adapté aux nouvelles normes du Web, et même si de nombreux sites continuent de fonctionner correctement, les développeurs n’y testent plus leur site ». « D’un point de vue cybersécuritaire, on est dans la pire situation possible, alerte Robert Wakim. C’est-à-dire que la brique technologique qui est utilisée pour supporter le business d’une entreprise n’est absolument plus mise à jour. » Une faille Zero-day touchant IE 11 a ainsi été découverte en avril dernier. Un peu plus tôt, en décembre 2018, Microsoft a dû sortir un patch en urgence pour Internet Explorer à cause d’une faille critique.
D’un point de vue cybersécuritaire, on est dans la pire situation possible.
Robert Wakim, Offers Manager Stormshield
« C’est une situation intéressante, analyse Florian Bonnet, Directeur du Product Management chez Stormshield. D’accord, IE n’est plus mis à jour. Mais quand on regarde attentivement, on s’aperçoit que Microsoft continue de supporter IE d’un point de vue sécurité lors de failles graves. Ils sont capables de faire des patchs pour corriger des vulnérabilités. Et s’ils le font, c’est parce qu’ils savent très bien qu’aujourd’hui, il existe un parc d’applicatifs IE et ils ne peuvent pas se permettre de dire qu’ils ne font plus rien. » Ne pas laisser les utilisateurs exposés serait alors un enjeu d’image ou une réelle conscience de cybersécurité chez Microsoft ? Le débat est ouvert.
Quelle est la taille de ce parc justement ? Qui utilise encore IE ? Difficile à dire. « Il n’y a pas de secteur en particulier, on trouve aussi bien IE dans l’administration que dans la santé ou l’industrie par exemple », souligne Florian Bonnet. « La part d’entreprises qui utilisent IE est compliquée à évaluer. Il s’agit d’applications à usage interne, donc nous n’avons pas de données dessus », abonde Robert Wakim, qui précise toutefois : « on est sur des logiciels internes, qui ont très souvent été faits sur mesure pour l’entreprise : intranet, logiciel de comptabilité, de gestion de stock… » Des applicatifs stratégiques pour l’entreprise qui, s’ils étaient compromis, pourraient paralyser tout ou partie de son activité.
Migrer ou rester sous IE ?
Or, les entreprises concernées ont une fenêtre de tir de plus en plus réduite pour s’adapter puisque la fin des mises à jour de sécurité d’Internet Explorer est attendue à horizon 2025. Premier réflexe : protéger son poste utilisateur. Une solution comme Stormshield Endpoint Security (SES) repose sur une analyse comportementale qui permet d’identifier rapidement une suite d’actions malveillantes, donc de détecter une attaque et de réagir. « Cette solution permet de se prémunir de certaines attaques. SES peut notamment détecter des changements de droits en s’intéressant au comportement des programmes pour détecter s’ils essayent de faire quelque chose qui n’est pas normal », détaille Florian Bonnet.
Autre option possible : mettre Internet Explorer dans une machine virtuelle et demander à ses utilisateurs de la lancer quand ils ont besoin de l’applicatif. « Cela permet de créer une version propre d’IE à chaque utilisation, souligne Robert Wakim. Mais c’est une solution à court-terme. Il est évident qu’à long terme, la seule façon de se maintenir en condition de sécurité est de migrer vers les autres navigateurs, ce qui implique de refaire intégralement tout l’applicatif. »
Pour certaines entreprises ou institutions, cela peut représenter jusqu’à 40 ou 50 applicatifs, avec un enjeu fort de compétitivité et de maintien de l’activité derrière. Mieux vaut anticiper et commencer dès aujourd’hui. « Il leur reste six ans pour trouver un budget et migrer leurs applications », insiste Florian Bonnet. « 2025 va arriver vite. Et plus les logiciels internes sont compliqués, plus ils vont nécessiter de temps d’analyse, de redesign, de développement, de migration des anciennes données, de validation et d’adoption... On est facilement sur des projets qui vont prendre 24 voire 36 mois », prévient Robert Wakim. Et si les entreprises ne font rien ? Pour Florian Bonnet, elles courent un vrai risque : « Elles pourront continuer à utiliser IE en interne mais elles n’auront plus de patch de sécurité. À leurs risques et périls. »