Le 15 juin 2022 marquait la fin officielle du support d’Internet Explorer. Pourtant, certains fragments de ce navigateur archaïque perdurent dans Microsoft Edge via l’IE Mode, conçu pour assurer la compatibilité avec d’anciennes applications web professionnelles. Face à une vulnérabilité zero-day critique touchant Chakra, le moteur JavaScript historique d’Explorer, Microsoft a décidé de brider drastiquement l’accès à cette fonctionnalité dans Edge.
Un risque inattendu : la vulnérabilité Chakra
Chakra, moteur JavaScript d’Internet Explorer, sert toujours de socle à l’IE Mode d’Edge. Or, des chercheurs en sécurité ont mis au jour un exploit capable de prendre le contrôle d’un poste Windows si l’utilisateur bascule abusivement vers IE Mode. Le scénario type :
- Une page web piégée incite l’internaute à cliquer sur un bouton ou un lien pour « rafraîchir » en mode Internet Explorer ;
- La faille zero-day dans Chakra, couplée à une deuxième vulnérabilité sur les privilèges système, permet l’exécution de code malveillant à haut niveau ;
- Le pirate peut ainsi déployer un ransomware, exfiltrer des données ou installer un backdoor, sans que l’utilisateur ne s’en aperçoive.
Ce type d’attaque ciblée, relayé par plusieurs équipes de sécurité, a poussé Microsoft à agir rapidement pour limiter les vecteurs d’activation de l’IE Mode.
Des raccourcis supprimés pour mieux sécuriser
Jusqu’à présent, Edge proposait divers moyens pour basculer une page en mode Explorer :
- Un bouton dédié dans la barre d’outils ;
- Une option « Ouvrir avec Internet Explorer » dans le menu principal ;
- Une entrée dans le menu contextuel (clic droit sur l’onglet ou la page).
Désormais, tous ces accès rapides sont retirés. Pour activer l’IE Mode, l’utilisateur doit :
- Ouvrir les paramètres d’Edge ;
- Aller dans « Navigateur par défaut » puis « Mode Internet Explorer » ;
- Ajouter manuellement l’URL concernée à la « Liste de sites à charger en mode IE » ;
- Relancer la navigation sur ce site pour qu’il s’ouvre en mode legacy.
Cette procédure, volontairement plus lourde, empêche les utilisateurs de passer en mode IE par inadvertance ou sous un faux prétexte, tout en conservant la compatibilité indispensable pour certaines applications intranet.
Conséquences pour les entreprises et DSI
Les organisations dépendantes de web apps anciennes – ERP sur ActiveX, outils de gestion documentaire intranet – doivent désormais :
- Recenser les adresses URL critiques devant impérativement s’ouvrir en mode IE ;
- Mettre à jour leurs consignes internes et tutoriaux en diffusant la nouvelle procédure d’activation ;
- Former les collaborateurs pour éviter tout blocage dans leur workflow quotidien ;
- Évaluer la faisabilité de migrer l’ensemble des applications vers des technologies web modernes (HTML5, WebAssembly).
Les équipes de support IT et sécurité gagneront en sérénité, réduisant les tickets relatifs à des accès non autorisés ou à des attaques exploitant la faille Chakra.
Microsoft pousse vers un Web plus sûr
En limitant l’accès à l’IE Mode, Microsoft envoie un signal clair : seuls les sites listés explicitement méritent ce traitement legacy. Le groupe recommande vivement :
- d’abandonner au plus vite les technologies obsolètes (ActiveX, VBScript) ;
- d’adopter des navigateurs et moteurs JavaScript à jour, offrant des mises à jour automatiques et un sandboxing renforcé ;
- d’exploiter les services Cloud et PaaS pour héberger des applications web sécurisées, moins exposées aux failles legacy.
La fin du support d’Internet Explorer doit s’accompagner d’une migration technique accélérée, car chaque jour supplémentaire accroît le risque de nouvelles vulnérabilités dans les vieux moteurs.
Feuille de route : vers l’extinction totale d’IE Mode
Microsoft prévoit une désactivation progressive d’ici fin 2026 :
- Notifications six mois à l’avance avant blocage complet des API legacy ;
- Publication de guides de migration et d’outils de compatibilité par le centre de documentation Microsoft ;
- Campagnes de sensibilisation en entreprise via le Microsoft 365 Admin Center.
Cette transition programmée permettra aux DSI d’anticiper les évolutions sans ruée précipitée, tout en clarifiant la ligne de conduite pour la sécurité et la compatibilité.
Recommandations pour l’utilisateur avancé
Pour les professionnels et experts IT, quelques bonnes pratiques :
- Activer le mode IE uniquement pour les URL d’applications strictement nécessaires ;
- Surveiller la liste des sites acceptés et la mettre à jour régulièrement ;
- Désactiver l’IE Mode sur les terminaux à accès public ou partagé ;
- Configurer des stratégies de groupe (GPO) pour centraliser la gestion des sites en mode IE.
Ainsi, on minimise la surface d’attaque tout en préservant la productivité des équipes qui utilisent encore des outils legacy.