Internet Explorer : Générateur de failles de sécurité en flux continu. Irrespect des standards du Web. Technologie scélérate ActiveX. Abandonné le 15 juin 2022

cr  01.01.1999      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Internet Explorer est une série de navigateurs Web (on navigue sur le Web, pas sur l'Internet), graphiques, développés par la société Microsoft, inclus dans la ligne de systèmes d'exploitation Microsoft Windows depuis 1995, avec Windows 95. On en connaît plusieurs versions

Formellement, Internet Explorer s'appelle (est appelé, dans les documents Microsoft) :

• Internet Explorer 1.0 (Plus! pour Windows 95) - Date de sortie : 16.08.1995
• Internet Explorer 2.0 - Date de sortie : 22.11.1995
• Internet Explorer 3.0 - Date de sortie : 13.08.1996
• Internet Explorer 4.0 Platform Preview - Date de sortie : avril 1997
• Microsoft Internet Explorer 4.0 - Date de sortie : septembre 1997 (avec versions pour Mac OS, Solaris (une déclinaison d'Unix, le 05.11.1997) et HP-UX)
• Internet Explorer 4.01 - Date de sortie : 18.11.1997
• Microsoft Internet Explorer 5.0 (début de la mutualisation avec MS Office) - Date de sortie : 18.03.1999
• Microsoft Internet Explorer 6.0 - Date de sortie : 27.08.2001
• Windows Internet Explorer 7 - Date de sortie : 18.10.2006
• Windows Internet Explorer 8 - Date de sortie : 19.03.2009
• Windows Internet Explorer 9 - Date de sortie : 14.03.2001
• Windows Internet Explorer 10 - Date de sortie : 26.10.2012
• Internet Explorer 11 - Date de sortie : 09.06.2015 sous Windows 7, 8.1 et Windows Server 2008 R2; le 29.07.2015 sous Windows 10

Au départ une simple application logicielle tournant sous Windows, Internet Explorer a ensuite été modifié pour devenir un composant mutualisé (inséparable) de Microsoft Windows, ceci afin de :

• Circonvenir diverses poursuites et condamnations de Microsoft en abus de position dominante, dont celle du Conseil de l'Europe, interdisant à Microsoft d'empêcher la concurrence, facteur de progrès.
• Rendre impossible la désinstallation d'Internet Explorer au profit de solutions concurrentes, beaucoup plus vivantes et, surtout, respectueuses des standards du Web.

Internet Explorer s'appelle, formellement, Microsoft Internet Explorer ou Windows Internet Explorer, communément abrégés en IE ou MSIE.

Internet Explorer a atteint un pic de 95% de parts de marché en 2002 et 2003, avant de décliner :

1. A cause de son immobilisme, de ses lacunes, et de ses choix conduisant à des impasses technologiques
2. A cause de la Fondation Mozilla qui lançait sa solution, gratuite et conforme aux normes et standards, Open source et respectueuse de la vie privée : Firefox
3. A cause, plus tard, de l'émergence de Google Chrome (malgré son irrespect total de la vie privée et avec une communication tapageuse et mensongère).

Internet Explorer, dans ses versions 9 puis 10 puis 11, est un navigateur qui fonctionne correctement, mais Internet Explorer pâtit d'un lourd passif, et son code propriétaire, fermé, a toujours éveillé et continue d'éveiller des soupçons.

Fort du fait qu'Internet Explorer est livré systématiquement avec Windows, Microsoft abusa de sa position dominante, et s'est cru dispensé de respecter les standards. Pire, Microsoft tenta d'imposer ses technologies propriétaires, ses interprétations et ses bidouillages contre les standards.

A cause de ce passif, plusieurs standards sont mal supportés par Internet Explorer, dont :

• Les feuilles de style en cascade (CSS)
• Le format d'image PNG (jusqu'à IE 6)
• Le XHTML
• Etc.

D'autre part, Internet Explorer utilise, et tente d'imposer, des interprétations personnelles des standards et Internet Explorer a des réactions exotiques, tout à fait hors standard.

Enfin, Internet Explorer (Microsoft) a cultivé le retard de mise à jour comme un étendard maison et, lorsqu'il s'est agi de rattraper le retard, des versions d'Internet Explorer accumulant des spécifications copiées sur les autres navigateurs (la notion de navigation par onglet, par exemple), sortirent en cascade, peu testées et porteuses d'innombrables failles de sécurité. Deux conséquences que l'on ne peut ni oublier ni passer sous silence :

• A cause d'Internet Explorer et de Microsoft, il existe une stagnation mondiale de la progression technologique du Web. Par exemple, le choix de la technique pour présenter les pages WEB d'un site devrait être « CSS » et « <div> ». Mais Internet Explorer ne respecte pas les spécifications de « CSS ». Après en avoir perdu leurs cheveux à se les arracher, les Webmasters finirent par utiliser la technique des tableaux (<table>), plus solide, plus simple, et éprouvée, donnant des mises en pages identiques dans tous les navigateurs.
  
• Internet Explorer, et ses failles de sécurité, ont été et sont toujours la clé du déploiement massif de ces virus informatiques appelés "vers" (Worms") qui exploitent ces failles pour se propager. Internet Explorer est l'outil qu'utilise le courrielleur OutLook pour visualiser les messages qui, dès qu'ils sont ouverts, s'ils sont piégés, attaquent instantanément le système (le volet de visualisation des messages, dans tous les clients de messagerie (OutLook, Thunderbird), doit toujours être fermé - un message ne doit jamais s'afficher lorsque l'on se promène simplement dans la liste des messages reçus). Enfin un antivirus "On-access" ou "On-excecution" (temps réel) doit impérativement être installé et maintenu à jour.
  

Un navigateur Web est composé de 4 modules :

1. Un module de communications

   Ce module est l'interface entre le navigateur Web dans votre appareil et le monde extérieur. Il supporte toutes les formes de communications que le navigateur doit connaître et respecter pour aller dans le Web et sur l'Internet.

2. Un moteur de rendu

   Un « moteurs de rendu » (qui n'est pas le navigateur). Il calcule graphiquement et affiche le contenu Web consulté. Tous les « moteurs de rendu » sont open source puisqu'ils ne doivent faire, avec une stricte exactitude, que et tout ce que le W3C normalise et ordonne (et strictement rien d'autre). Ils peuvent tenter de se différencier par l'exactitude du rendu et la vitesse d'exécution.

   Nous avons, chez assiste.com, observé un bug dans le moteur de rendu de tous les navigateurs basés sur Chromium dont le « moteurs de rendu » (Blink) rendait mal nos flèches (haut, bas, suivant, précédent) à droite de chaque titre de chapitre de notre site (nous avons dû modifier de très nombreuses fois, durant longtemps, le dessin de ces images pour « faire avec » ce bug, avant de comprendre que cela venait du moteur de rendu de certains navigateurs utilisés pour nos tests, et qu'ils utilisaient tous Blink). Le moteur de rendu Gecko du navigateur Web Mozilla Firefox (ainsi que du courrielleur Thunderbird et de dizaines d'autres navigateurs Web) est meilleur et plus rapide.

   Il y a d'autres outils et applications utilisant un moteur de rendu :

   • Tous les outils de développement Web (utilisés par les webmasters et les équipes de développement Web) ayant une fonction WYSIWYG (« What You See Is What You Get » - « Ce que vous voyez est ce que vous obtenez »).

   • Tous les clients de messagerie implantés dans votre appareil. Ils interprètent le code HTML et les codes d'autres technologies.

   • Tous les webmail (équivalant d'un client de messagerie, mais se trouvant sur un serveur distant). Ils interprètent, de la même manière, le code HTML et les codes d'autres technologies.

   Le moteur de rendu est, lui-même, composé de 3 éléments :

   1. Le moteur de rendu HTML 5. Il en existe 3 qui doivent répondre strictement, rien de plus, rien de moins, aux directives des standards du Web édictés par le W3C. Ils sont donc tous plus ou moins identiques (Quantum, WebKit, Blink). Le 8 décembre 2018, Microsoft a annoncé abandonner le moteur de rendu d'Edge, EdgeHTML, au profit de Blink. Les 2 ou 3 autres moteurs de rendu qui restent sont en voie de disparition. Par exemple : bug d'affichage dans Blink (corrigé depuis).

   2. Le moteur/compilateur JavaScript. Il existe une course à la vitesse dans laquelle le moteur JavaScript de Firefox (Ion) sort premier (voir les captures d'écran des tests dans Firefox).

   3. Le moteur de styles CSS (« Cascading Style Sheets » - « Feuilles de style en cascade »).

3. Le navigateur Web proprement dit

   Le navigateur Web sert à la navigation proprement dite, sur le Web. Mis à part celui de Firefox qui est open source, ils sont tous en « code propriétaire » (code secret) avec interdiction contractuelle d'ingénierie inverse. C'est là que se cachent tous les outils d'espionnage, suivi, surveillance, etc.

4. Des modules additionnels

   Les modules additionnels (add-on), parfois obligatoires, parfois optionnels, sont aux goûts et usages de l'utilisateur. C'est du code injecté dans le navigateur. Certains sont « propres », d'autres sont de véritables espions ou de pures malveillances dont les terribles cryptowares (ransomwares - rançongiciel).

Tout cela sert :

• À afficher une page Web visitée.

• À naviguer sur le Web.

• À personnaliser le navigateur Web.

Choisir un navigateur Web
pour se promener sur le Web

01 Le noyau central : le moteur de rendu

Le « moteur de rendu », c'est ce qui fait comment vous voyez, à l'écran, une page Web, juste la page Web, indépendamment de tout le reste qui s'affiche à l'écran, autour de la page Web visitée (entête, menu, bare de navigation, bare d'outils, panneaux latéraux, bas de la fenêtre, etc.), et relève du navigateur Web, pas du « moteur de rendu » (le navigateur Web peut demander au « moteur de rendu » d'afficher certains objets graphiques qui n'appartiennent pas à la page Web, comme les ascenseurs, les barres d'outils et les menus). Le « moteur de rendu » :

• Interprète et affiche plus ou moins bien le code HTML selon les standards du W3C (y compris les formulaires et la prise en charge de l'interaction avec l'internaute)

• En respectant plus ou moins bien les styles et formats décripts dans les feuilles de style en cascade (CSS) selon les standards du W3C

• En interprétant plus ou moins bien, et plus ou moins rapidement, les codes Javascript (les scripts) de la page Web (il y a divers « moteurs javascript » (« interpréteur javascript ») dans les navigateurs Web dont les tests comparatifs de vitesse font l'objet de combats homériques : SpiderMonkey, TraceMonkey, JägerMonkey, IonMonkey, V8, JavaScriptCore, Chakra, Rhino, Tamarin, Carakan, Futhark, etc.

• Avec un comportement dit « à tolérance de panne » (« fault tolerant ») qui passe son temps à tenter de rendre visible et cohérente une page bourée de fautes de syntaxe HTML et CSS, comportement hautement et admirablement abracadabrantesque (une véritable gymnastique les pieds au mur) qui fait des merveilles, mais permet aussi beaucoup de laxisme de la part des webmasteurs.

Il existe désormais (normalisation forte) très peu de « moteur de rendu » (Quantum, Webkit, Blink, Gecko et c'est presque tout). Ils sont tous open source (sauf Khtml et Trident, tous deux en voie de disparition).

Les critères de choix vont donc être :

• Respect des standards du W3C

• Vitesse

Aucun souci du côté des « moteurs de rendu » en termes de sécurité et de protection ou violation de la vie privée - Les « moteurs de rendu » n'interviennent absolument pas dans ce domaine et ne communiquent pas avec l'ordinateur (sauf les routines appelant les APIs du processeur graphiques et les requêtes en ressources matérielles).

ATTENTION : LE MOTEUR DE RENDU N'EST PAS LE NAVIGATEUR WEB.

Qui utilise quoi ? Quels navigateurs Web (et autres applications) utilisent Webkit ou Gecko ou Quantum ou Blink ?

• Gecko puis Quantum :
  Un des objectifs de Gecko a été, dès le départ, le strict respect des standards du web et des recommandations du W3C. Les standards reconnus par Gecko sont notamment HTTP, HTTPS, FTP, FTPS, SSL, Unicode, JPEG, GIF, HTML, XHTML, XML, CSS, Javascript, ECMAScript, DOM, MathML, RDF, XSLT, SVG, PNG, RSS, Atom, Ajax et XUL. Gecko est remplacé par Quantum dans Firefox (mais continue d'exister dans des dizaines de navigateurs Web dérivés de Firefox.

• Trident :
  L'un des objectifs de Microsoft, avec Trident, est de ne respecter aucun standard si ce ne sont pas des « standards » de Microsoft. A ce petit jeu, façe au W3C et face à tous les autres « moteurs de rendu », Microsoft a perd

Le nom « Internet Explorer » comportant le mot « Internet », il appert que beaucoup d'utilisateurs inexpérimentés sont trompés et assimilent le navigateur, qui n'est qu'un logiciel ouvrant une fenêtre sur une petite partie de l'Internet, à l'Internet lui-même. Il est, de ce fait, parfois très difficile de faire comprendre à l'Utilisateur qu'abandonner Internet Explorer au profit d'un autre navigateur n'a rien à voir avec abandonner Internet, bien au contraire !

Internet est un réseau de réseaux d'ordinateurs, alors que les navigateurs Internet ne sont que des logiciels clients, des outils, donnant accès à un aspect particulier d'Internet appelé le WEB - le WWW - le World Wide Web (voir : Invention du Web - Naissance du Web).

Microsoft, avec Internet Explorer

, est totalement contre les standards, carrément opposé aux standards qui ne seraient pas les siens !

Microsoft se fiche complètement des standards et, assis sur une position qu'il croit dominante, considère que ce qu'il fait est un standard de fait ! Malheureusement pour Microsoft, les standards se font sans lui, et, en particulier, se font sur des propositions de la Fondation Mozilla et les groupes de travail de l'IETF et du W3C que dirrige l'inventeur du Web sur l'Internet. Les tentatives de Microsoft de faire standardiser ses comportements sont rejetés par les organismes de gouvernance du Web et des standards.

Internet Explorer est un cauchemar pour les développeurs de sites WEB qui doivent sans arrêt tester quel est le navigateur WEB utilisé par l'internaute, et même quelle est la version du navigateur WEB utilisée par l'internaute. Les développeurs doivent écrire des dizaines d'instructions spécifiques, là où il n'en faut qu'une normalement, pour que la version utilisée d'Internet Explorer fasse la même chose que ce que les standards lui imposent normalement de faire. En plus, Microsoft à ajouté des extensions propriétaires, comme VBScript et ActiveX (une technologie dont Microsoft lui-même à fini par avouer en avoir peur en terme de sécurité informatique, après qu'elle se soit révélée être l'une des principales causes d'attaques des ordinateurs), en sont des exemples, ainsi que les techniques DHTML spécifiques à Microsoft. La corrolaire n'a pas manqué : quelques développeurs Web se sont mis à écrire délibérément leurs pages afin qu'elles fonctionnent avec les idiosyncrasies de Microsoft plutôt que de respecter les standards, réduisant les visiteurs de leurs sites aux seuls utilisateur d'Internet Explorer.

En réalité, aucun utilisateur ne devrait utiliser Internet Explorer (outre le fait qu'il est suspect).