Actualités

Inscrivez-vous

Faille : Microsoft finit l’année en beauté (second épisode)

Edition du 24/12/2003 - par Marc Olanié

Ou l'on apprend que la rustine tierce partie était poreuse et comment notre héros ne pourra se tirer de ce mauvais pas.

Résumé des chapitres précédents

Le 10 décembre, un artiste graphiste particulièrement doué pour les choses de l'informatique découvrait une faille affectant Internet Explorer, faille permettant à un pirate de « forger » une fausse page Web capable d'induire un utilisateur de service payant en erreur

Et pendant ce temps, Microsoft ne réagit pas.

Le 16 décembre, un éditeur indépendant saisit la balle au bond et décide de publier sa propre rustine, payante celle-ci. C'est le « patch Abracadabra » destiné à combler le vide laissé par l'éditeur.

Et pendant ce temps, Microsoft ne réagit toujours pas.

La notion de facturation à la rustine ne semblant pas satisfaire la communauté des utilisateurs de Windows, et la « réclame gratuite » découlant d'une telle action pouvant s'avérer payante, les correctifs se multiplient. Le 18 décembre, OpenWares publie à son tour une rustine, gratuite celle là.

Et pendant ce temps, Microsoft ne réagit toujours pas.

Le 19 décembre, encouragé par cette énergique passivité, c'est au tour de BlueCoat d'annoncer en grandes pompes son bouche-trou salvateur. Il devenait évident que cette situation ne pouvait que devenir instable. Le monde tournait à l'envers, avec, d'un côté, un Microsoft souhaitant de plus en plus jouer un rôle dans le monde de la protection informatique, quitte à museler ou faire museler les imprécateurs osant critiquer cette nouvelle tentative de mainmise technico-commerciale, et de l'autre, un quarteron de spécialistes de la sécurité. Lesquels auraient tendance à se prendre pour des gourous du développement de code « noyau », s'affûtant le compilateur sur des correctifs logiciels qui exigent, avant publication, le passage par une série de tests de non-régression aussi rigoureux que coûteux.

Et pendant ce temps, Microsoft ne réagit toujours pas.

Le 19 décembre au soir, l'éditeur allemand Heise découvre, sans grande surprise, une « faille dans la rustine d'OpenWares » . Le correctif en question est potentiellement victime d'une attaque en saturation de tampon. Une découverte qui oblige l'intéressé, c'est là la moindre des choses, à publier une version réparée 2.0 de son code réparateur.

Et pendant ce temps, Microsoft ne réagit toujours pas.

Peut-être est-ce là une attitude toute politique, consistant à laisser entendre « Avez-vous vu comme il est parfois difficile de concevoir rapidement des « patchs » certifiés ? » Ce serait, pourtant, prêter une subtilité machiavélique à un Microsoft ayant fait preuve, ces derniers temps, d'une brutalité extrême et d'une absence totale de délicatesse en matière de communication : ainsi la prise de position de Gates à propos de la loi « Can Spam », voir l'affaire Dan Geer où, selon la formule consacrée, « Microsoft n'a toujours pas réagi ».

Epilogue

Que tout le monde se rassure, à l'heure où nous rédigeons ces lignes, Microsoft est toujours frappé d'un mutisme éloquent, alors que se multiplient les exploitations en « cross site scripting » exploitant la faille « URL Spoofing » de cette histoire. C'est d'ailleurs le sujet d'un fil très important de la liste « full disclosure », intitulé « Visa XSS »*. 2004 sera-t-elle une année de « mélange des genres » où l'on ne distinguera plus le tien du mien, les concepteurs de codes et les découvreurs de failles, les auteurs de correctifs et les « gardiens de la moralité sécuritaire » ? ou en reviendra-t-on à de meilleurs sentiments, ceux ou l'on parle de métier et de vaches bien gardées ?

Qu'importe. Le plus important, à notre humble avis, c'est qu'avant la fin de l'année, Microsoft publie un correctif verrouillant ce problème de spoofing d'URL. Quitte à voir ainsi terni cette victoire du « mois de décembre qui n'a connu aucune alerte majeure dans les colonnes du Technet ». Même le « DirCom » de MS doit avoir, dans sa jeunesse, entendu parler de Pyrrhus. Il serait également intéressant que les têtes pensantes de Seattle se penchent à nouveau sur le problème de la périodicité des correctifs et desdites publications Technet. Tout compte fait, ce n'était pas si mal, le « patch day » du mercredi.

*Visa désignant le GIE de cartes bancaires, quitte à lancer un scam, autant qu'il rapporte gros.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

Les informaticiens français champions de la violation des règles de sécurité

C'est l'inadaptation des politiques de sécurité mises en place par les entreprises (...)

Première mondiale : le premier acte notarié dématérialisé vient d'être signé en France

Cocorico : c'est en présence de deux ministres, Rachida Dati et Eric Besson, que (...)

Le Sénat remanie la riposte graduée à son idée

Le projet de loi dit Création et Internet pourrait être sensiblement modifié par (...)

Les mesures de la loi contre le téléchargement illégal

Le projet de loi Création et Internet, dit Hadopi, sera examiné à partir de mercredi (...)

Retard sur la délivrance des premiers passeports biométriques

La mise en production des premiers passeports biométriques devait être effective (...)

ICC 2008 : Les DSI fournisseurs d'intelligence économique

Les rencontres Innovation Compétitivité et Connaissance 2008 (ICC 2008) sont centrées (...)

Printemps.com agrège les sites partenaires à son éco-système de paiement privé

Les sites partenaires du site de commerce Printemps.com sont modifiés à la volée (...)

Articles récents

Les informaticiens français champions de la violation des règles de sécurité

(29/10/2) - C'est l'inadaptation des politiques de sécurité mises en place par les entreprises (...)

Première mondiale : le premier acte notarié dématérialisé vient d'être signé en France

(29/10/2) - Cocorico : c'est en présence de deux ministres, Rachida Dati et Eric Besson, que (...)

Le Sénat remanie la riposte graduée à son idée

(29/10/2) - Le projet de loi dit Création et Internet pourrait être sensiblement modifié par (...)

Les mesures de la loi contre le téléchargement illégal

(28/10/2) - Le projet de loi Création et Internet, dit Hadopi, sera examiné à partir de mercredi (...)

Magazine

. Téléchargez le sommaire du magazine

. S'abonner au magazine

. Contactez la Rédaction

Alertes

Toutes les alertes

Le FBI avertit de nouvelles attaques du vers Storm

(30/07/2) - Une vague de plaintes incite le FBI à émettre un avertissement sur un nouveau cycle (...)

Attaques à venir suite à la révélation de détails sur la faille DNS

(24/07/2) - Des détails révélant les mécanismes de l'attaque des serveurs DNS ont été publiés (...)

Code d'attaque disponible pour la faille DNS

(24/07/2) - Des hackers ont délivré un logiciel qui exploite (...)

Actualités RT

Réseau : Cisco France s'organise pour s'adresser aux PME (encore une fois)

(22/11/2) - « Notre stratégie SMB (Small and Medium Business), déjà engagée, s'accélère » affirme (...)

1000 kms de fibre optique pour le département de l'Hérault

(21/11/2) - Lassé d'attendre le bon vouloir des opérateurs pour déployer de fibre optique dans (...)

Penser "Lean" quand il s'agit du système d'information

(20/11/2) - Le 17 novembre, l'Institut Lean France, Telecom ParisTech et le prestataire de services (...)

LIVRES BLANCS

	> 18 novembre 2008 - La Virtualisation : Planifier une Infrastructure Virtuelle La planification et le déploiement d'une infrastructure virtuelle peut représenter un défi même si elle apporte des avantages conséquents. Les entreprises commencent à utiliser cette technologie pour protéger leur système et données les plus sensibles. A travers ce livre blanc, découvrez les avantages de la virtualisation et les méthodes pour la planifier et la déployer au sein de votre entreprise.

	> 18 novembre 2008 - Protéger Les Serveurs Virtuels avec Acronis True Image Echo La virtualisation peut simplifier la gestion des serveurs et peut réduire le coût total d'exploitation. Cependant, malgré les avantages de la virtualisation, son utilisation peut s'avérer délicate en matière de reprise d'activité après sinistre. Apprenez comment sauvegarder et restaurer un serveur virtuel et comment créer et déployer un Plan de Reprise d'Activité en lisant ce livre blanc.

	> 17 novembre 2008 - ISO 20022/UNIFI : La bonne réponse... Mais quelle était la question ? Ce document retrace l'origine et l'histoire (déjà mouvementée) d'une norme en train de devenir incontournable dans les échanges financiers : ISO20022/UNIFI (UNIversal Financial Industry). Ce standard fournit en effet une plateforme unifiée et facilite les échanges dans une syntaxe XML qui s'impose aujourd'hui de facto.

	> 3 novembre 2008 - La mobilité dans les entreprises Une étude en anglais réalisée par Nokia auprés de 2 700 entreprises américaines, chinoises et allemandes - Une étude très complète sur les usages de la mobilité dans le monde professionnel, dont vous pourrez comparer les résultats avec les usages observés dans votre entreprise.

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Copyright © Réseaux et Télécoms 2003-2008
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site, faite sans l'autorisation de l'éditeur ou du webmaster de Réseaux et Télécoms est illicite et constitue une contrefaçon. IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.

	A propos	Contacts

Les sites d'IT News Info : Actualité du monde IT -Sécurité des systèmes d'information - Management des systèmes d'information - Actualité des grossistes informatiques - Magazine Masculin - Actualité high tech et usage du numérique