Dans un article de blog publié le 8 octobre 2025, Microsoft annonce avoir restreint l’accès au mode Internet Explorer encore disponible sur le navigateur Edge. La faute à une faille zero-day exploitée activement par des hackers pour prendre le contrôle de machines ciblées.
Pour le commun des mortels, Internet Explorer est mort le 15 juin 2022.
Ce jour-là, Microsoft annonçait la fin du support de son iconique navigateur, pour laisser définitivement place à Microsoft Edge.
Mais dans l’ombre des projecteurs, Internet Explorer continuait de vivre à travers un mode intégré à Edge, permettant à des professionnels d’utiliser d’anciens sites ou applications conçus pour IE (notamment ceux reposant sur ActiveX ou Flash).
Ce « IE mode » permettait ainsi d’ouvrir certains sites dans un environnement fidèle à Internet Explorer, directement depuis Edge, afin d’assurer la compatibilité avec des outils encore exploités dans le monde professionnel ou gouvernemental.
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Dans un article de blog publié le 8 octobre 2025, les équipes de sécurité de Microsoft Edge ont annoncé restreindre désormais l’accès à ce mode, après avoir relevé de nombreux indicateurs signalant l’exploitation active d’une faille zero-day dans IE mode.
Une attaque en plusieurs étapes
Les premiers éléments de compromission remontent à août 2025. L’équipe de sécurité d’Edge apprend alors que des acteurs malveillants utilisent des techniques d’ingénierie sociale pour attirer leurs cibles vers de faux sites, reproduisant à s’y méprendre des pages officielles. Une fois la victime piégée, une fenêtre pop-up s’affiche, l’invitant à recharger la page en mode Internet Explorer.
Cette action effectuée, les pirates exploitent une faille non corrigée dans le moteur JavaScript d’Internet Explorer, appelé Chakra, leur permettant de prendre le contrôle à distance de l’ordinateur infecté.
Ils auraient également exploité une seconde vulnérabilité afin de contourner les protections du navigateur et de s’emparer totalement de l’appareil compromis.
La communication officielle de Microsoft Edge n’a pas précisé l’identifiant exact des vulnérabilités concernées. L’entreprise a par ailleurs indiqué que la faille affectant Chakra n’avait, à ce jour, pas encore été corrigée.
Restreint, mais toujours disponible
Pour atténuer le risque, Microsoft a supprimé les options permettant d’activer le mode IE dans Edge par des méthodes simples, telles que le bouton dédié dans la barre d’outils, le menu contextuel ou encore les éléments du menu hamburger.
Désormais, les utilisateurs qui souhaitent activer le mode IE doivent se rendre dans : Paramètres > Navigateur par défaut > Autoriser et définir les pages à charger à l’aide d’Internet Explorer.
Ces nouvelles restrictions ont pour but de rendre l’activation du mode IE pleinement intentionnelle. Par ailleurs, la mise en place d’une liste de sites autorisés à s’ouvrir dans ce mode devrait considérablement compliquer les tentatives de compromission par des acteurs malveillants.
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
