Internet Explorer bloque l'exécution d'ActiveX obsolètes

  • Article

Présentation de la fonctionnalité

La mise à jour cumulative du mois d'Août 2014 (https://support.microsoft.com/kb/2976627) apporte quelques nouveautés pour Internet Explorer:

  • Internet Explorer 11
    • Améliorations des outils de développement F12
    • Amélioration pour spécifier un moteur de recherche
    • Améliorations de la prise en charge de WebGL
  • Internet Explorer 8 à 11
    • Blocage des ActiveX obsolètes

Lorsque qu'un composant additionnel est obsolète, Internet Explorer va bloquer son exécution et notifier l'utilisateur :

image

L'utilisateur peut alors exécuter une fois le contrôle ActiveX obsolète ou le mettre à jour.

En cliquant sur le bouton Mettre à jour, Internet Explorer redirigera l'utilisateur sur le site web de l'éditeur et il devra télécharger/installer la nouvelle version de l'ActiveX.

La notification apparaît dans les cas suivants :

  • Windows 7 SP1 - Internet Explorer 8 à 11
  • Windows 8 et 8.1 Internet Explorer Bureau
  • Si le site web n'est pas déclaré dans la Zone Intranet et Sites de confiance.

Afin de savoir quels sont les ActiveX obsolètes, Internet Explorer va télécharger une liste (à l'instar de la liste d'affichage de compatibilité). Cette liste contient alors les différentes versions des ActiveX obsolètes. La liste des ActiveX bloqués est disponible ici : https://go.microsoft.com/fwlink/?LinkId=403864

Au 11/08/2014 seuls les ActiveX suivants sont bloqués :

  • J2SE 1.4, toutes les versions strictement inférieures à la mise à jour 43
  • J2SE 5.0, toutes les versions strictement inférieures à la mise à jour 71
  • Java SE 6, toutes les versions strictement inférieures à la mise à jour 81
  • Java SE 7,toutes les versions strictement inférieures à la mise à jour 65
  • Java SE 8, toutes les versions strictement inférieures à la mise à jour 11

Nouvelles stratégies

Afin de contrôler cette nouvelle fonctionnalité, des nouvelles stratégies sont disponibles dans Composants Windows\Internet Explorer\ Fonctionnalités de sécurité\Gestion des modules complémentaires.

Activer la journalisation des contrôles ActiveX dans Internet Explorer

Cette option permet d'auditer quels sont les sites Web qui demandent à utiliser un contrôle ActiveX obsolète. Le fichier de journalisation se trouve à l'emplacement suivant : %localappdata%\Microsoft\Internet Explorer\AuditMode

Le fichier VersionAuditLog.CSV contient alors les informations suivantes:

  • l'URL du site web
  • l'emplacement du contrôle ActiveX
  • Version de l'ActiveX
  • le statut du contrôle (bloquer/autoriser)
  • La raison du statut (obsolète, domaine autorisé)
  • la compatibilité avec le mode protégé amélioré

https://www.java.com/fr/download/installed.jsp?detect=jre ,C:\Program Files (x86)\Java\jre1.6.0_05\bin\ssv.dll,6.0.50.13,6.0.50.13,Blocked,Out of date,Not EPM Compatible

Supprimer le bouton "Exécuter une fois" pour les contrôles ActiveX obsolètes dans Internet Explorer

Cette option permet de notifier l'utilisateur que le contrôle ActiveX obsolète est bloqué et propose de le mettre à jour. Le contrôle ActiveX ne peut pas être exécuté.

clip_image002

Désactiver le blocage des contrôles ActiveX obsolètes pour Internet Explorer

Cette option permet de désactiver cette nouvelle fonctionnalité. Aucun contrôle ActiveX ne sera bloqué.

Il n'est pas recommandé de désactiver le blocage des ActiveX obsolètes. Néanmoins, si vous voulez désactiver le blocage des ActiveX obsolètes sans utiliser les modèles d'administration vous pouvez créer la clé de registre suivante :

  • HKLM/HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\VersionCheckEnabled
  • Type : REG_DWORD
  • Valeur: 0 - Désactivation du blocage des ActiveX obsolètes.
  • Valeur : 1 - Activation du blocage des ActiveX obsolètes.


Désactiver le blocage des contrôles ActiveX obsolètes pour Internet Explorer pour des domaines spécifiques

Il est possible de spécifier :

  • des noms de domaines : contoso.com
  • des nom d'hôtes : monintranet
  • un fichier : file:///C:/Users/John/Desktop/Javappli/index.htm

Si le domaine est autorisé, par exemple java.com, la ligne suivante sera ajoutée au fichier de journalisation :

https://www.java.com/fr/download/installed.jsp?detect=jre,C:\\Program Files (x86)\Java\jre1.6.0_05\bin\ssv.dll,6.0.50.13,6.0.50.13,Allowed,Trusted domain,Not EPM Compatible

Les modèles d'administration au format ADM seront disponibles en téléchargement ici : https://go.microsoft.com/fwlink/?LinkId=444484
Les modèles d'administration au format ADMX seront inclus dans la mise à jour (Fichier .MSU).
Il est également possible de télécharger les ADMX/ADML ici : IE11 Modèles d'administration (ADM/ADMX/ADML)

Le blocage des ActiveX obsolètes (Java pour l'instant) améliore la sécurité et préviens l'utilisateur qu'il doit mettre à jour le composant obsolète.
Pour les entreprises, le blocage des ActiveX obsolètes ne fonctionne pas sur les zones de sécurité Intranet Local et Sites de confiance. De plus, des stratégies sont disponibles pour contrôler cette nouvelle fonctionnalité.

Pour plus d'informations, vous pouvez lire les articles suivants : https://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx

https://technet.microsoft.com/en-us/ie/dn798785.aspx