Internet Explorer commence à bloquer les contrôles ActiveX obsolètes

  • Article

Dans le cadre de notre engagement continu à fournir un navigateur plus sécurisé, Internet Explorer bloquera les contrôles ActiveX obsolètes à compter du 9 septembre. Remarque : le billet d'origine indiquait que le blocage ActiveX commencerait le 12 août. Pour plus d'informations, reportez-vous à l'addendum.

Les contrôles ActiveX sont de petites applications utilisées par les sites web pour fournir du contenu, par exemple des vidéos et des jeux, et permettant d'interagir avec du contenu tel que des barres d'outils. Malheureusement, de nombreux contrôles ActiveX ne sont pas mis à jour automatiquement et peuvent devenir obsolètes à mesure que de nouvelles versions sont publiées. Il est très important de maintenir les contrôles ActiveX à jour, car des pages web malveillantes ou compromises peuvent cibler les failles de sécurité des contrôles obsolètes pour collecter des informations, installer des logiciels dangereux ou permettre à une personne mal intentionnée de contrôler votre ordinateur à distance.

Par exemple, selon le dernier rapport sur les données de sécurité de Microsoft, les attaques Java représentaient 84,6 % à 98,5 % des détections mensuelles liées à des kits d'exploitation des failles en 2013. Ces vulnérabilités ont peut-être été résolues dans des versions récentes, mais les utilisateurs ne savent pas forcément qu'une mise à niveau est nécessaire. Pour éviter ce genre de scénario avec les contrôles ActiveX, une mise à jour d'Internet Explorer le 12 août 2014 introduira une nouvelle fonctionnalité de sécurité appelée blocage des contrôles ActiveX obsolètes.

Grâce au blocage des contrôles ActiveX obsolètes :

  • Vous êtes informé lorsqu'Internet Explorer empêche une page web de charger des contrôles ActiveX courants, mais obsolètes.
  • Vous pouvez interagir avec les éléments de la page web qui ne sont pas affectés par le contrôle obsolète.
  • Vous pouvez mettre à jour le contrôle obsolète pour l'actualiser et rendre son utilisation plus sûre.
  • Vous pouvez dresser l'inventaire des contrôles ActiveX utilisés par votre organisation.

Nous souhaitions vous faire part d'un certain nombre d'informations avant la mise à jour de la semaine prochaine afin de vous aider à mieux comprendre cette fonctionnalité et à déterminer le meilleur plan d'action. Si vous êtes un utilisateur final et que vous voyez la barre de notification, nous vous suggérons de mettre votre navigateur à jour vers la dernière version. Si vous êtes un professionnel de l'informatique, vous pouvez décider de la manière d'implémenter cette fonctionnalité.

Configurations prises en charge

La fonctionnalité de blocage des contrôles ActiveX obsolètes est compatible avec :

  • Internet Explorer 8 à 11 sur Windows 7 SP1 et versions ultérieures
  • Internet Explorer 8 à 11 sur Windows Server 2008 R2 SP1 et versions ultérieures
  • Toutes les zones de sécurité (telles que la zone Internet), à l'exception de la zone Intranet local et de la zone Sites de confiance

Cette fonctionnalité ne signale pas ou ne bloque pas les contrôles ActiveX obsolètes dans la zone Intranet local ou la zone Sites de confiance.

À quoi ressemble la notification de blocage d'un contrôle ActiveX obsolète ?

Il est important de noter que par défaut, cette fonctionnalité alerte les utilisateurs en leur offrant l'option de mettre à jour le contrôle ou d'ignorer l'avertissement. Lorsqu'Internet Explorer bloque un contrôle ActiveX obsolète, une barre de notification similaire à celle illustrée ci-dessous s'affiche, selon votre version d'Internet Explorer :

Notification informant l'utilisateur que la page a chargé un contrôle ActiveX obsolète dans Internet Explorer 9 à 11.
Internet Explorer 9 à 11

Notification informant l'utilisateur que la page a chargé un contrôle ActiveX obsolète dans Internet Explorer 8.
Internet Explorer 8

Si vous cliquez sur le bouton de mise à jour de la notification sur le contrôle ActiveX obsolète, vous êtes redirigé vers le site web du contrôle afin d'en télécharger la version la plus récente. Dans les environnements gérés, le service informatique a la possibilité de configurer la fonctionnalité de manière à empêcher l'utilisateur d'exécuter des contrôles ActiveX plutôt que de simplement les lui signaler.

Le blocage des contrôles ActiveX obsolètes fournit également un avertissement de sécurité vous indiquant si une page web tente de lancer des applications obsolètes spécifiques en dehors d'Internet Explorer :

Le blocage des contrôles ActiveX obsolètes fournit également un avertissement de sécurité vous indiquant si une page web tente de lancer des applications obsolètes spécifiques en dehors d'Internet Explorer.

Comment Internet Explorer détermine quels contrôles ActiveX bloquer ?

Pour déterminer si le chargement d'un contrôle ActiveX doit être bloqué, Internet Explorer utilise un fichier hébergé par Microsoft : versionlist.xml. Ce fichier est mis à jour avec les nouveaux contrôles ActiveX découverts, qui sont téléchargés automatiquement par Internet Explorer dans votre copie locale du fichier. Nous signalons pour le moment les versions anciennes de Java, mais nous ajouterons d'autres contrôles ActiveX obsolètes à la liste au fil du temps.

À compter du 9 septembre 2014, cette fonctionnalité notifiera les utilisateurs lorsque des pages web tentent de charger les versions suivantes des contrôles ActiveX Java :

  • J2SE 1.4 : toutes les versions antérieures à la mise à jour 43 (non incluse)
  • J2SE 5.0 : toutes les versions antérieures à la mise à jour 71 (non incluse)
  • Jave SE 6 : toutes les versions antérieures à la mise à jour 81 (non incluse)
  • Jave SE 7 : toutes les versions antérieures à la mise à jour 65 (non incluse)
  • Java SE 8 : toutes les versions antérieures à la mise à jour 11 (non incluse)

La liste complète des contrôles ActiveX obsolètes de Microsoft est disponible sur la page de la liste des versions d'Internet Explorer.

Blocage des contrôles ActiveX obsolètes pour les environnements gérés

Le blocage des contrôles ActiveX obsolètes est désactivé dans la zone Intranet local et la zone Sites de confiance afin de ne pas empêcher l'utilisation des contrôles ActiveX pour les sites intranet et les applications métier approuvées. Il est possible que certains clients souhaitent bénéficier d'un contrôle plus précis du fonctionnement de cette fonctionnalité sur les systèmes gérés. Les professionnels de l'informatique voudront peut-être activer la journalisation des contrôles ActiveX, forcer le blocage, permettre l'utilisation de contrôles ActiveX obsolètes sur certains domaines ou encore — même si nous le déconseillons — désactiver complètement cette fonctionnalité. Pour plus d'informations sur les environnements d'entreprise, consultez l'article 2991000 dans la Base de connaissances Microsoft.

Pour prendre en charge ces scénarios, Internet Explorer inclut quatre nouveaux paramètres de stratégie de groupe permettant de gérer le blocage des contrôles ActiveX obsolètes.

  • La journalisation vous indique quels contrôles ActiveX sont autorisés ou font l'objet d'un avertissement ou d'un blocage, et pour quelle raison. La création d'un inventaire des contrôles ActiveX permet également d'afficher les contrôles ActiveX compatibles avec le mode protégé amélioré, fonctionnalité de sécurité d'Internet Explorer 11 qui offre une protection supplémentaire contre les failles de navigateur. Toutefois, comme tous les contrôles ActiveX ne sont pas compatibles avec le mode protégé amélioré, cette fonctionnalité peut vous aider à évaluer l'état de préparation de votre organisation au blocage des contrôles ActiveX et à l'activation de ce mode. La stratégie de groupe correspondante est [Turn on ActiveX control logging in Internet Explorer] (Activer la journalisation des contrôles ActiveX dans Internet Explorer). Elle peut être utilisée seule ou conjointement avec les trois autres stratégies.
  • Le blocage forcé empêche les utilisateurs d'ignorer l'avertissement concernant les contrôles ActiveX obsolètes. Le bouton [Run this time] (Exécuter cette fois) n'est pas disponible. La stratégie de groupe correspondante est [Remove Run this time button for outdated ActiveX controls in Internet Explorer] (Supprimer le bouton Exécuter cette fois pour les contrôles ActiveX obsolètes dans Internet Explorer).
  • Les domaines sélectionnés permettent de gérer les domaines pour lesquels Internet Explorer ne bloquera pas ou ne signalera pas les contrôles ActiveX obsolètes. La stratégie correspondante est [Turn off blocking of outdated ActiveX controls for Internet Explorer on specific domains] (Désactiver le blocage des contrôles ActiveX obsolètes pour Internet Explorer sur des domaines spécifiques). Elle inclut une liste de domaines de premier niveau, de noms d'hôte ou de fichiers.
  • Cette fonctionnalité peut être désactivée à l'aide de la stratégie [Turn off blocking of outdated ActiveX controls for Internet Explorer on specific domains] (Désactiver le blocage des contrôles ActiveX obsolètes pour Internet Explorer sur des domaines spécifiques). Cette stratégie peut être utilisée temporairement avec la journalisation afin d'évaluer les contrôles ActiveX utilisés avant de réactiver la fonctionnalité. Elle peut également être activée, tout comme les trois autres stratégies, à l'aide d'une clé de Registre : dans le cas présent, une clé REG_DWORD « HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled » avec une valeur de zéro.

Pour plus d'informations, consultez la documentation technique complète disponible ici. Vous pouvez également télécharger les modèles d'administration d'Internet Explorer, qui incluent ces nouveaux paramètres, depuis la page des modèles d'administration pour Internet Explorer.

Restez à jour avec Internet Explorer

Nous savons que de nombreuses organisations s'appuient toujours sur les capacités des contrôles ActiveX, mais les contrôles ActiveX obsolètes présentent aujourd'hui un risque. En permettant aux utilisateurs de rester à jour (et au service informatique de mieux gérer les contrôles ActiveX, y compris ceux qui sont compatibles avec le mode protégé amélioré), Microsoft aide les clients à renforcer leur sécurité en ligne. C'est un nouvel exemple de respect de la promesse que nous avons faite de fournir aux utilisateurs un Internet Explorer toujours plus sûr et sécurisé.

Enfin, nous tenons à remercier l'équipe d'ingénieurs Java d'avoir collaboré avec nous au développement de cette fonctionnalité. Ce partenariat démontre que les objectifs de Java et d'IE sont les mêmes pour ce qui est d'aider les utilisateurs à rester à jour et d'assurer leur sécurité !

Addendum - 10/08/2014

Nous avons reçu plusieurs questions au sujet de cette mise à jour et souhaiterions apporter quelques précisions. Nous en profiterons également pour faire une annonce rapide.

Tenant compte des commentaires de clients, nous avons décidé d'attendre trente jours avant de bloquer les contrôles ActiveX obsolètes. Les clients peuvent utiliser la nouvelle fonctionnalité de journalisation pour évaluer les contrôles ActiveX de leur environnement et déployer des stratégies de groupe pour forcer le blocage, désactiver le blocage des contrôles ActiveX sur des domaines spécifiques ou désactiver complètement le blocage, selon leurs besoins. La fonctionnalité de blocage et les stratégies de groupe associées seront toujours disponibles à partir du 12 août, mais aucun contrôle ActiveX obsolète ne sera bloqué avant le mardi 9 septembre. Microsoft continuera de créer un navigateur plus sécurisé et nous encourageons tous les clients à mettre leur navigateur à niveau et à rester à jour avec le dernier Internet Explorer et ses mises à jour.

Vous trouverez ci-dessous les réponses à des questions fréquentes au sujet de cette mise à jour.

FAQ

Quels contrôles ActiveX obsolètes sont couverts par cette mise à jour ?

Aucun contrôle ActiveX ne sera affecté au moment du déploiement initial de la fonctionnalité en août. À partir de septembre, seuls les contrôles ActiveX Oracle Java obsolètes seront concernés. Tous les autres contrôles ActiveX continueront à se charger normalement.

Cette mise à jour aura-t-elle une incidence sur les applications qui utilisent une version obsolète de Java en dehors d'Internet Explorer ?

Non. Cette fonctionnalité notifiera simplement l'utilisateur lorsqu'une version obsolète de Java est chargée en tant que contrôle ActiveX dans Internet Explorer.

Cette mise à jour s'appliquera-t-elle à Internet Explorer sur les références (SKU) serveur et client ?

Oui.

Cette fonctionnalité sera-t-elle intégrée à la mise à jour cumulative d'août ou sera-t-elle déployée en tant que correctif logiciel distinct ?

Cette fonctionnalité sera intégrée à la mise à jour de sécurité cumulative d'août pour Internet Explorer, mais aucun contrôle ActiveX obsolète ne sera bloqué pendant trente jours afin de laisser aux clients le temps de tester et de gérer leurs environnements.

Cette fonctionnalité aide-t-elle à se protéger contre les attaques actives visant les contrôles Java obsolètes ?

Oui, le fait d'installer la version la plus récente de l'environnement d'exécution Java améliore considérablement la sécurité des utilisateurs. Des détails supplémentaires sur des vulnérabilités CVE spécifiques sont disponibles sur le blog de Microsoft consacré à la sécurité (« Keeping Oracle Java updated continues to be high security ROI ») et dans le rapport sur les données de sécurité de Microsoft.

Les utilisateurs finaux peuvent-ils choisir d'ignorer la notification si une application approuvée nécessite l'utilisation d'une version obsolète de Java ?

Oui, les utilisateurs peuvent sélectionner l'option [Run this time] (Exécuter cette fois) pour les sites Internet qui nécessitent l'utilisation d'un contrôle ActiveX obsolète.

Mon entreprise utilise des sites métier reposant sur des contrôles ActiveX Java obsolètes dans la zone Intranet ou la zone Sites de confiance. Ces sites seront-ils affectés par cette mise à jour ?

Non, les sites de la zone Intranet ou Sites de confiance continueront à fonctionner normalement une fois cette mise à jour appliquée. Les sites intranet auxquels l'accès se fait via une adresse IP ou un nom de domaine complet sont considérés comme faisant partie de la zone Internet et seront affectés par cette mise à jour. Vous trouverez une discussion complète à ce sujet et des suggestions de solutions dans cet article de la base de connaissances. Par ailleurs, il convient de noter qu'aucun contrôle ActiveX obsolète ne sera affecté pendant trente jours afin de laisser aux clients le temps de tester et de gérer leurs environnements.

Mon entreprise utilise des sites métier reposant sur des contrôles ActiveX Java obsolètes dans la zone Internet. Seront-ils affectés ?

Les contrôles ActiveX Java obsolètes ne seront pas affectés au départ, laissant aux clients trente jours pour tester et gérer leurs environnements. Après le 9 septembre, lorsque les utilisateurs finaux tenteront de charger le contrôle ActiveX Java obsolète, ils recevront une notification (comme décrit plus haut dans ce billet). L'utilisateur final pourra alors cliquer sur l'option [Run this time] (Exécuter cette fois) pour charger le contrôle ActiveX Java obsolète. Une fois chargé, le contrôle ActiveX Java obsolète fonctionnera normalement.

Est-il possible de désactiver cette fonctionnalité si mon entreprise a besoin d'utiliser une version plus ancienne de l'environnement d'exécution Java ?

Oui, il existe plusieurs moyens de désactiver cette fonctionnalité. Microsoft fournit des modèles d'administration des stratégies de groupe d'IE qui incluent 4 nouvelles stratégies de groupe permettant de contrôler cette fonctionnalité*. Deux de ces stratégies de groupe peuvent être utilisées pour désactiver cette fonctionnalité sur certains domaines ou complètement.

Si vous ne souhaitez pas utiliser ces modèles d'administration des stratégies de groupe, vous pouvez utiliser les clés de Registre suivantes, qui peuvent être définies via la stratégie de groupe (la procédure est détaillée ici et ici). Toutes les clés peuvent être définies dans HKLM ou HKCU (HKLM sera prioritaire sur HKCU).

Stratégie Paramètre de Registre
Désactiver le blocage des contrôles ActiveX obsolètes pour Internet Explorer sur des domaines spécifiques 
 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\ Domain" /v contoso.com /t REG_SZ /f
Désactiver le blocage des contrôles ActiveX obsolètes pour Internet Explorer 
 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext" /v VersionCheckEnabled /t REG_DWORD /d 0 /f

Si aucune des options ci-dessus ne fonctionne, l'adresse du site nécessitant l'utilisation d'un contrôle ActiveX Java obsolète peut être ajoutée à la zone Sites de confiance.

Est-il possible de désactiver cette fonctionnalité sans accès administrateur ?

Oui, en supprimant les fichiers versionlist.xml précédemment téléchargés et en donnant à IE l'instruction d'arrêter de mettre à jour le fichier XML. Pour ce faire, exécutez les commandes suivantes dans une fenêtre Commande :

  1.  reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f

  2.  del “%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml”

Comment le fichier versionlist.xml est-il récupéré, mis à jour et utilisé par Internet Explorer ?

Les versions prises en charge d'Internet Explorer téléchargeront la version initiale du fichier versionlist.xml dans les 12 heures suivant l'installation de la mise à jour cumulative d'août et le démarrage d'Internet Explorer. Le fichier versionlist.xml sera téléchargé de cette adresse à l'emplacement suivant : %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml.

Une fois le fichier téléchargé, la fonctionnalité sera activée et Internet Explorer commencera à bloquer les contrôles ActiveX Java obsolètes conformément aux données présentes dans le fichier versionlist.xml. Internet Explorer vérifiera ensuite régulièrement si des mises à jour ont été apportées à ce fichier. Si Microsoft met à jour ce fichier, Internet Explorer en téléchargera une nouvelle version. Notez que le fichier ne bloquera pas les contrôles ActiveX obsolètes pendant les trente premiers jours afin de laisser aux clients le temps de tester et de gérer leurs environnements.

Une entreprise peut-elle désactiver ou remplacer l'URL vers laquelle l'utilisateur est redirigé lorsqu'il clique sur le bouton de mise à jour de la notification de contrôle ActiveX obsolète ?

L'URL vers laquelle l'utilisateur est redirigé lorsqu'il clique sur le bouton de mise à jour est stockée dans le fichier versionlist.xml. Il est possible de changer cette URL dans le fichier, mais les mises à jour futures du fichier versionlist.xml annuleront ces modifications.

Cette fonctionnalité bloquera-t-elle uniquement les contrôles ActiveX Java obsolètes à partir de septembre ?

Oui, à partir de septembre, seuls les contrôles ActiveX Java Oracle obsolètes seront bloqués par cette fonctionnalité. Toutefois, nous envisageons de bloquer d'autres contrôles ActiveX courants, mais obsolètes, dans de futures mises à jour.

* Où puis-je trouver de la documentation supplémentaire sur cette fonctionnalité et les modèles d'administration des stratégies de groupe ?

Une documentation supplémentaire et les modèles d'administration des stratégies de groupe seront mis à disposition respectivement sur TechNet et dans le Centre de téléchargement le 12/08.

— Fred Pullen, Responsable produit senior, Internet Explorer

— Jasika Bawa, Chef de projet, Sécurité