Car à prendre tous ces rapporteurs au pied de la lettre, on s'imagine un bulletin du CERTA qui nous déclarerait bien clairement qu'Internet Explorer est un outil déconseillé du fait de son manque de sécurité. Cela constituerait d'abord une première[1] et, pour paraphraser Nanard, ça serait sévèrement burné de leur part. Mais ce n'est pas ce qui a été publié. Forcément, se permettront d'ajouter certains esprits chagrins. Moi, je dis normal.

Quand on lit (vraiment) le bulletin d'alerte consacré à cette faille ou le bulletin d'actualité qui y fait référence, on ne trouve rien de tel. Ce qu'on y trouve, ce sont des solutions de contournement applicables jusqu'à la publication par Microsoft du patch qui va bien, laquelle vient d'être annoncée pour demain.

Update (21/01/2010) : le patch pour cette faille a été publié dans un bulletin Out-Of- Band.

Juste avant des mesures visant à limiter l'impact de la faille comme la désactivation du JavaScript, l'activation du DEP ou l'utilisation d'un compte non privilégié, on va donc tomber respectivement sur :

Dans l'attente d'un correctif de l'éditeur, Le CERTA 
recommande l'utilisation d'un navigateur alternatif.

Et :

Dans l'attente d'un correctif, il est préférable d'utiliser 
un navigateur alternatif.

Voilà. Effectivement, le CERTA recommande bien d'utiliser un autre navigateur, mais dans l'attente d'un correctif. Je n'appelle pas vraiment ça "déconseiller l'utilisation d'Internet Explorer". Pas de quoi surprendre le lecteur un minimum attentif donc, habitué à des publications factuelles et mesurées, comme elles se doivent de l'être[2]. Et ça le surprendra d'autant moins qu'il sera doué d'un minimum de mémoire, puisque c'est loin d'être la première fois que le CERTA recommande d'utiliser un navigateur alternatif dans pareille situation. Ce qui, objectivement et sans jugement aucun quant à la sécurité de l'outil, constitue un conseil on ne peut plus sage et efficace, d'autant que comme l'ont fait très justement remarquer les deux premiers commentateurs, il ne s'agit pas traitement de faveur réservé aux produits Microsoft, pas plus qu'aux navigateurs d'ailleurs[3]... Quant au BSI, si j'en crois mes maigres notions d'allemand, il dit en substance la même chose...


Mais quand je suis tombé sur le premier article annonçant ce revirement de position fantasmé, ce n'est pas aux implications techniques que j'ai pensé, mais au symbole que ça aurait représenté. Car s'ils avaient effectivement publié un tel avis, ce que d'aucuns se plaisent à vouloir nous faire retenir de l'affaire, le CERTA et le BSI auraient pris une position hautement symbolique, voire politique, et surtout lancé un message très lourd de sens. Il n'est en effet pas anodin pour un organisme gouvernemental de jeter ainsi l'opprobre sur un produit du marché. Et pas sans conséquence non plus, pour l'éditeur comme pour eux. Car au-delà de la pression qu'on se met en terme de qualité à vouloir ainsi jouer les redresseurs de torts, c'est également se placer dans un rôle de régulateur d'un marché que de tenir de tels propos. Ce qui n'est pas forcément dans les attributions de ces organismes.

Et même si on se prendrait parfois à espérer qu'un groupe impartial, visible et respecté en arrive un jour à lancer ce genre de recommandation à l'attention de certains éditeurs qui, de mon point de vue, abusent un peu, il faut bien se rendre à l'évidence : ce n'est pas demain que ça devrait arriver. Même si, dans une jungle des produits de sécurité tous plus recommandés et/ou certifiés les uns que les autres, ça contribuerait probablement à faire un peu de ménage. Et par la même occasion, relever le niveau général...

Notes

[1] Pour autant que je me souvienne.

[2] Pas de polémique ;)

[3] Les produits Adobe seraient-ils également déconseillés ?...