Internet Explorer a finalement disparu… ou pas

Lors de la mise à jour de février, Microsoft a enterré Internet Explorer une bonne fois pour toutes. Est-ce vraiment le cas ? Nous analysons ce qui s’est vraiment passé.

Il n’y a pas si longtemps, l’espace médiatique de la sécurité informatique était encore une fois submergé de rapports qui disaient que Microsoft allait finalement enterrer Internet Explorer (IE). Résumons cette longue histoire et voyons comment ce navigateur, qui était le plus populaire, a progressivement été déconnecté de ses systèmes de fonctionnement et si nous pouvons enfin nous réjouir (spoiler : ce n’est pas le cas).

Internet Explorer : chroniques de vie et de mort

Nous rappelons à ceux qui n’ont pas vécu dans les années 2000 (ou ont oublié ce que c’était), qu’Internet Explorer régnait et possédait plus de 90 % du marché. C’est difficile à croire de nos jours mais Explorer dominait encore plus le marché que le champion actuel Google Chrome.

Pourtant, depuis l’apparition de Chrome en 2008, la popularité d’Explorer est en constant déclin. On peut considérer que l’ère Explorer s’est terminée en 2012 lorsque Chrome a finalement pris le dessus. Cela étant dit, Microsoft ne le reconnaît officiellement pour la première fois qu’en 2015.

À cette époque, en même temps que le dévoilement de Windows 10, l’entreprise a annoncé qu’elle allait interrompre le développement d’Internet Explorer et faire de Edge le navigateur par défaut sous Windows, ce qui est la première phase de la mise hors service d’Internet Explorer. La version originale d’Edge était alimentée par le moteur EdgeHTML de Windows, une modification de MSHTML, aussi connu comme Trident, et qui était le système de base d’Explorer.

Évidemment, Edge était équipé d’un mode de compatibilité avec Internet Explorer. Pourtant, lors de la onzième et dernière version d’Explorer, le navigateur était encore intégré dans le système d’exploitation. C’est à ce moment-là que commence une période de double navigateur, lorsque les navigateurs Edge et Explorer étaient tous les deux préinstallés sur Windows, ce qui (encore un spoiler) est encore le cas aujourd’hui.

La seconde phase commence trois ans plus tard, en décembre 2018. Microsoft a renoncé aux futurs essais de développement de son propre moteur et a dévoilé une toute nouvelle version d’Edge, cette fois basée sur Chromium. Ce navigateur dispose aussi d’un mode de compatibilité avec Internet Explorer et ce dernier se trouve toujours dans le système.

En 2021, Microsoft lance son nouveau système d’exploitation Windows 11. Il est désormais impossible de démarrer et d’utiliser Explorer en tant que navigateur indépendant, du moins en théorie. Pourtant, Edge dispose encore d’un mode de compatibilité avec Internet Explorer. Explorer est toujours présent dans le système et l’exécution est possible après quelques ajustements.

Quelques années plus tard, récemment en février 2023, les médias annoncent que la dernière mise à jour de Microsoft supprime définitivement Explorer. Un coup de grâce qui met un terme à cette agonie cruelle. Pourtant, si on y regarde de plus près, il s’avère que ce vieux système est encore en vie !

Désactiver et supprimer sont deux choses différentes

La première chose à souligner à propos de la mise à jour de Windows est qu’elle n’efface pas Explorer du système d’exploitation ; elle le désactive. En pratique, cela signifie qu’Explorer ne peut plus être lancé comme navigateur indépendant (cette fois c’est sûr). En revanche, Edge, officiellement le seul navigateur Windows, a encore un mode de compatibilité avec Internet Explorer. Cela signifie qu’il est encore en vie, ce qui est assez frappant : il n’est là que pour garantir le fonctionnement de ce mode.

Si vous essayez d’ouvrir Explorer, c’est Edge qui va s’exécuter à la place. Une fois que vous êtes dans Edge, si vous voulez vraiment utiliser Internet Explorer, vous devez sélectionner le mode de compatibilité. Ainsi, Explorer habite encore dans Windows jusqu’à ce que Microsoft décide définitivement de mettre un terme au mode de compatibilité avec Internet Explorer.

Le correctif qui désactive Internet Explorer ne fonctionne pas sur tous les systèmes d’exploitation

Même la désactivation d’Explorer n’est pas absolue. Tout un ensemble de systèmes d’exploitation n’a pas reçu la mise à jour d’Internet Explorer. Microsoft a gentiment publié une liste des systèmes exclus :

  • Windows 8.1
  • Windows 7 mises à jour de sécurité étendues (ESU)
  • Windows Server canal semi-annuel (SAC), toutes les versions
  • Windows 10 IoT canal de maintenance à long terme (LTSC), toutes les versions
  • Windows Server LTSC, toutes les versions
  • Windows 10 client LTSC, toutes les versions
  • Windows 10 China Government Edition

En d’autres termes, les utilisateurs de ces systèmes d’exploitation n’ont pas reçu les modifications mentionnées ci-dessus. Ils peuvent encore exécuter Internet Explorer comme navigateur indépendant.

Quel est le problème ?

Le problème est qu’en plus d’avoir un navigateur complètement obsolète, toutes les vulnérabilités (et celles encore inconnues) persistent dans le système. La seule différence entre « avant » et « après » est que comme Internet Explorer est désactivé il peut être un peu plus difficile d’exploiter le navigateur vulnérable pour lancer certaines attaques.

La vulnérabilité CVE-2021-40444, découverte dans le moteur MSHTML d’Internet Explorer en 2021, illustre à la perfection ce qui pourrait se passer. De plus, lors de la découverte, la vulnérabilité était activement exploitée au cours d’attaques qui ciblaient les utilisateurs de Microsoft Office. Les cybercriminels ajoutaient un élément ActiveX pour compléter les documents Office, ce qui leur permettait d’exécuter un code à distance après que l’utilisateur a ouvert le fichier qui contenait un cheval de Troie.

Pourquoi Microsoft n’a pas tout simplement et définitivement enterré Explorer ? Le problème est que ce navigateur a pendant longtemps été la seule option viable pour de nombreuses entreprises, ce qui lui a permis de s’enraciner profondément dans leur infrastructure. Certaines de ces entreprises sont encore incapables d’abandonner l’héritage de ce passé obscur. Ainsi, dans l’intérêt de la compatibilité (une vache sacrée pour Windows), ce navigateur à moitié mort passe de système d’exploitation en système d’exploitation depuis plus de dix ans.

Comment vous protéger

À première vue, nous allons devoir attendre encore quelques années avant qu’Internet Explorer ne soit définitivement abandonné et que l’entreprise mette fin à son agonie. Ainsi, sauf si vous préférez attendre que Microsoft supprime Internet Explorer une bonne fois pour toutes, ce que nous vous déconseillons fortement, il est préférable d’administrer les derniers soins vous-même.

  • Si votre entreprise utilise encore des technologies associées à Internet Explorer, essayez de les abandonner par phase et d’utiliser des solutions plus modernes. Vous auriez dû le faire il y a dix ans.
  • Ensuite, lorsque vous n’avez plus besoin de la compatibilité avec Internet Explorer, il convient de désactiver le navigateur sur tous les systèmes d’exploitation que vous utilisez. Quant aux systèmes d’exploitation mentionnés auparavant, vous devrez le faire manuellement. Le site de Microsoft propose une liste compréhensible des instructions à suivre pour y arriver. Pour tous les autres systèmes, vérifiez que le correctif correspondant de Microsoft est bien installé.
  • Selon les conseils donnés par Microsoft, vous devez continuer à installer les mises à jour de sécurité d’Internet Explorer, même après l’avoir désactivé, puisque certains composants du navigateur restent dans le système.
  • Enfin, vous devez installer une sur tous les dispositifs de votre entreprise.
Conseils