Ou l'on apprend que la rustine tierce partie était poreuse et comment notre héros ne pourra se tirer de ce mauvais pas.



Résumé des chapitres précédents


Le 10 décembre, un artiste graphiste particulièrement doué pour les choses de l'informatique découvrait une faille affectant Internet Explorer, faille permettant à un pirate de « forger » une fausse page Web capable d'induire un utilisateur de service payant en erreur

Et pendant ce temps, Microsoft ne réagit pas.

Le 16 décembre, un éditeur indépendant saisit la balle au bond et décide de publier sa propre rustine, payante celle-ci. C'est le « patch Abracadabra » destiné à combler le vide laissé par l'éditeur.

Et pendant ce temps, Microsoft ne réagit toujours pas.

La notion de facturation à la rustine ne semblant pas satisfaire la communauté des utilisateurs de Windows, et la « réclame gratuite » découlant d'une telle action pouvant s'avérer payante, les correctifs se multiplient. Le 18 décembre, OpenWares publie à son tour une rustine, gratuite celle là.

Et pendant ce temps, Microsoft ne réagit toujours pas.

Le 19 décembre, encouragé par cette énergique passivité, c'est au tour de BlueCoat d'annoncer en grandes pompes son bouche-trou salvateur. Il devenait évident que cette situation ne pouvait que devenir instable. Le monde tournait à l'envers, avec, d'un côté, un Microsoft souhaitant de plus en plus jouer un rôle dans le monde de la protection informatique, quitte à museler ou faire museler les imprécateurs osant critiquer cette nouvelle tentative de mainmise technico-commerciale, et de l'autre, un quarteron de spécialistes de la sécurité. Lesquels auraient tendance à se prendre pour des gourous du développement de code « noyau », s'affûtant le compilateur sur des correctifs logiciels qui exigent, avant publication, le passage par une série de tests de non-régression aussi rigoureux que coûteux.

Et pendant ce temps, Microsoft ne réagit toujours pas.

Le 19 décembre au soir, l'éditeur allemand Heise découvre, sans grande surprise, une « faille dans la rustine d'OpenWares » . Le correctif en question est potentiellement victime d'une attaque en saturation de tampon. Une découverte qui oblige l'intéressé, c'est là la moindre des choses, à publier une version réparée 2.0 de son code réparateur.

Et pendant ce temps, Microsoft ne réagit toujours pas.

Peut-être est-ce là une attitude toute politique, consistant à laisser entendre « Avez-vous vu comme il est parfois difficile de concevoir rapidement des « patchs » certifiés ? » Ce serait, pourtant, prêter une subtilité machiavélique à un Microsoft ayant fait preuve, ces derniers temps, d'une brutalité extrême et d'une absence totale de délicatesse en matière de communication : ainsi la prise de position de Gates à propos de la loi « Can Spam », voir l'affaire Dan Geer où, selon la formule consacrée, « Microsoft n'a toujours pas réagi ».



Epilogue


Que tout le monde se rassure, à l'heure où nous rédigeons ces lignes, Microsoft est toujours frappé d'un mutisme éloquent, alors que se multiplient les exploitations en « cross site scripting » exploitant la faille « URL Spoofing » de cette histoire. C'est d'ailleurs le sujet d'un fil très important de la liste « full disclosure », intitulé « Visa XSS »*. 2004 sera-t-elle une année de « mélange des genres » où l'on ne distinguera plus le tien du mien, les concepteurs de codes et les découvreurs de failles, les auteurs de correctifs et les « gardiens de la moralité sécuritaire » ? ou en reviendra-t-on à de meilleurs sentiments, ceux ou l'on parle de métier et de vaches bien gardées ?

Qu'importe. Le plus important, à notre humble avis, c'est qu'avant la fin de l'année, Microsoft publie un correctif verrouillant ce problème de spoofing d'URL. Quitte à voir ainsi terni cette victoire du « mois de décembre qui n'a connu aucune alerte majeure dans les colonnes du Technet ». Même le « DirCom » de MS doit avoir, dans sa jeunesse, entendu parler de Pyrrhus. Il serait également intéressant que les têtes pensantes de Seattle se penchent à nouveau sur le problème de la périodicité des correctifs et desdites publications Technet. Tout compte fait, ce n'était pas si mal, le « patch day » du mercredi.

. Web-profils.com, la place de marché du conseil et de l'ingénierie