Microsoft a annoncé des restrictions drastiques sur l’accès à la « mode Internet Explorer » (IE Mode) intégrée à son navigateur Edge. Cette décision intervient après la découverte d’exploits exploitant des failles critiques dans Chakra, le moteur JavaScript héritier d’Internet Explorer, permettant à des attaquants de prendre le contrôle de machines à distance. Pour protéger les utilisateurs, Microsoft retire tout raccourci facilitant l’activation de IE Mode et invite à migrer vers des technologies web plus récentes.
Contexte : la fin de soutien à Internet Explorer
Le 15 juin 2022, Microsoft a officiellement mis fin au support d’Internet Explorer (IE), invitant les entreprises et les particuliers à adopter Edge pour ses performances, ses mises à jour régulières et son niveau de sécurité supérieur. Pourtant, une poignée d’applications web d’entreprise reposent encore sur des technologies anciennes, notamment ActiveX et des contrôles COM, contraignant Microsoft à maintenir une « mode IE » dans Edge. Celle-ci émulait le comportement du navigateur historique pour garantir la compatibilité des anciennes web apps.
Découverte d’une vulnérabilité zero-day dans Chakra
Fin septembre 2025, le centre de sécurité de Microsoft Edge a reçu plusieurs signalements concernant un vecteur d’attaque sophistiqué exploitant une vulnérabilité zero-day dans Chakra, son moteur JavaScript hérité d’IE. Le scénario typique :
- L’attaquant envoie un lien vers un site piégé, présenté comme une page corporate ou un portail interne ;
- L’utilisateur, invité à rafraîchir la page en « mode Internet Explorer » pour afficher un contenu spécifique, clique sur un bouton ou un élément de menu ;
- Le bug de Chakra, combiné à une deuxième vulnérabilité, permet l’exécution de code malveillant avec des privilèges élevés, ouvrant la porte à l’installation de backdoors et le vol de données.
Face à ce risque, Microsoft a décidé d’éliminer les méthodes « one-click » d’activation de IE Mode pour limiter l’exposition à cette attaque ciblée.
Modalités de la nouvelle restriction
Désormais, plus aucun accès rapide à IE Mode ne sera disponible dans l’interface d’Edge. Les éléments supprimés comprennent :
- Le bouton « Ouvrir en mode Internet Explorer » dans la barre d’outils ;
- Les options correspondantes du menu hamburger (trois points) ;
- Les entrées de menu contextuel lors d’un clic droit sur un onglet ou un lien.
Pour ouvrir une page en mode IE, l’utilisateur devra la renseigner explicitement dans la liste blanche de sites autorisés :
- Accès aux paramètres d’Edge : « Paramètres > Navigateur par défaut > Mode Internet Explorer » ;
- Ajout manuel de l’URL concernée dans la section « Sites à charger en mode IE » ;
- Rechargement de la page pour basculer vers le moteur de rendu legacy.
Cette démarche, plus longue, assure qu’IE Mode ne s’active qu’après une démarche consciente de l’utilisateur et pour des sites explicitement confiés, limitant ainsi l’effet de « piège à clic ».
Les impacts pour les entreprises et les TMA
Les grandes organisations doivent adapter rapidement leurs procédures internes :
- Recensement des web apps nécessitant IE Mode ;
- Communication avec les équipes informatiques pour mettre à jour les guides d’accès et de dépannage ;
- Mise en place de formations courtes pour les utilisateurs finaux, afin de maîtriser la nouvelle procédure d’activation ;
- Évaluation de la faisabilité de migration vers des solutions modernes, compatibles HTML5 et JavaScript standard, pour éliminer définitivement la dépendance à IE.
Les prestataires de services managés (TMA) seront sollicités pour aider leurs clients à reconfigurer les listes de sites et assurer la continuité de service sans compromettre la sécurité.
Encouragement à l’abandon des technologies obsolètes
Microsoft rappelle que la meilleure défense reste de ne plus recourir à la mode IE. Edge et les autres navigateurs modernes offrent :
- Des mises à jour de sécurité quasi permanentes ;
- Un sandboxing renforcé pour le code web et JavaScript ;
- Des performances accrues, notamment grâce à l’optimisation de Chromium ;
- Une compatibilité native avec les standards web actuels (HTML5, CSS3, WebAssembly).
Pour la plupart des sites et applications, la migration technique consiste à moderniser le code, remplacer ActiveX par des API web sécurisées et adopter des frameworks front-end actuels. Cette évolution, même si elle exige un effort de refonte, garantit une meilleure pérennité et une sécurité renforcée.
La feuille de route de Microsoft
Au-delà de la suppression des raccourcis IE Mode, Microsoft a annoncé :
- La publication de guides de migration destinés aux développeurs, pour repenser les web apps legacy ;
- Un calendrier de blocage progressif des API obsolètes, avec des alertes six mois avant la désactivation complète ;
- Une campagne de sensibilisation auprès des responsables IT et des équipes de sécurité, via le Microsoft 365 Admin Center et les bulletins de sécurité mensuels.
L’objectif affiché est de se libérer complètement des composants hérités d’Internet Explorer d’ici fin 2026.
Par cette mesure, Microsoft fait un pas de plus vers un écosystème web totalement moderne et sécurisé, tout en contrant les menaces en constante évolution. Les entreprises et les utilisateurs doivent désormais s’armer de patience et d’informations pour gérer au mieux cette nouvelle ère d’Edge sans compromis sur la sécurité.