Sécurité: transparence forcée sur la dernière faille de Windows
 
Le dernier trou de sécurité n'avait pas été explicité en détail. Un groupe de hackers chinois a décidé d'y remédier et rend toutes les informations publiques. Microsoft et d'autres sont contre cette politique de "full disclosure".  
 
Un collectif de spécialistes en sécurité informatique de Chine populaire a publié, vendredi 25 juillet, les détails techniques permettant d'exploiter la dernière faille de sécurité critique découverte dans Windows. Ils relancent ainsi le débat sur la pertinence de rendre publique les vulnérabilités informatiques.
 
La faille avait été à l'origine découverte le 16 juillet par un groupe d'informaticiens polonais (lire notre article du 17 juillet 2003). lls s'étaient contentés de décrire brièvement la vulnérabilité, d'indiquer quelles versions de Windows étaient concernées et de renvoyer vers le bulletin de sécurité de Microsoft qui a édité un correctif. «Nous avons décidé de ne pas publier de codes ou n'importe quel détail technique concernant cette vulnérabilité», pouvait-on lire dans leur message posté sur la liste de diffusion spécialisée BugTraq.
 
 
Mais le collectif chinois, baptisé Xfocus, qui se présente comme une organisation «libre» et «à but non lucratif», ne l'a pas entendu ce cette oreille. «Pour analyser et exploiter cette vulnérabilité, les membres de Xfocus ont cherché à isoler le problème et lu le code [de Windows] jours après nuits», expliquent-ils en détail sur leur site (très encombré mardi en début d'après-midi).  
 
Microsoft pense qu'il y a danger pour l'utilisateur
 
Résultat: neuf jours après ils ont livré, sans prévenir Microsoft, le code permettant de réaliser un programme exploitant la faille de Windows. Cette dernière étant critique, cela permet potentiellement à une personne mal intentionnée de prendre le contrôle à distance du système et d'effacer des données du disque dur.
 
«Nous continuons de croire que ce type de publication n'est pas bénéfique pour l'utilisateur», a déclaré à Associated Press Jeff Jones, un responsable sécurité de Microsoft. «Ce n'est pas sain pour l'internet en général», a pour sa part indiqué à l'agence de presse, Russ Cooper, éditeur de la liste de diffusion BugTraq, référence en matière de sécurité des produits Microsoft et dirigeant de la société de sécurité américaine Trusecure Corp.
 
«Tout le monde devrait avoir le droit de savoir pourquoi une vulnérabilité a vu le jour», rétorque l'un des membres de Xfocus sur ses forums. «Chacun peut alors se protéger et les programmeurs savent comment éviter l'erreur à l'avenir. (...) Nous pensons que Microsoft ne devrait pas nous blâmer pour avoir publié ces détails mais améliorer son attitude concernant la sécurité et ses capacités à écrire un code sûr», conclut-il.
 
http://news.zdnet.fr/story/0,,t118-s2138261,00.html

et pan
 
mais un OS sûr, ça aide pas la NSA ça

 
C'est clair, stratégiquement et militairement les USA ont à leur disposition de quoi bibouiller à distance des millions d'ordinateurs connectés sur le réseau ; vu le patriotisme de Bill Gates et ses idées ouvertement conservatrices et pro-Bush (qui l'a bien aidé lors du procès fleuve), ça doit déja être le cas... C'est pour ça que la Chine n'hésite pas à emmerder Microsoft, c'est d'ailleurs pour ça aussi que depuis peu tous les gouvernements européens migrent vers des OS dont on connait le code source et  dont on connait donc le fond et les réactions.

les chinois sont plus intelligents que les frenchies

pas nécéssairement plus intelligents, mais plus malins ouais assurément

Avec ces conneries, Micrososft va se faire une telle réputation qu'apres les entreprises ce sont les particuliers qui vont tous passé a Linux

Que croit-tu qu'il se passe déjà ?  
 
Pas mal de boite migrent vers des OS plus stables et plus économique apportant satisfaction sans devoir forcement donner son n° de CB  
 
J'adore lire les argumentaires des nouveaux os de Grosoft... surtout lorsqu'ils disent : "encore plus stable"  
 
C'est dire ouvertement que la précédente version ne l'était pas et que la présente l'est à peine plus  

 
le but d'une société d'info c'est de s'améliorer, que ce soit microsoft ou apple, donc je trouve que l'argument plus stable est tout à fait normal

ouais mais bon ça marche pas à tout les coups : j'ai vraiment pas trouvé win95 ou meme 98 plus stable que windows 3.1, bien au contraire, le 3.1 marchait meme beaucoup mieux que ses successeurs pseudo-32bits...

 
vu le peu de personnes qui ont pu testé windows 3.1 voir 3.11 ... il est difficile de juger

 
c'est pareil avec les lessiuves  

Moi ce qui m'ennuie là dedans c'est qu'au final il y a une situation ambigue. Le devoir de transparence qui est louable n'est il pas un soucis dans le monde de l'info? Par exemple nous  en connaissant la faille nous nous en sommes prémunis via les patchs, et bien entendu ris à la énième faille de windows. Mais là je songe aux milliers d'utilisateurs qui n'y connaissent rien et qui peuvent alors être victimes de quelqu'un de mal intentionné (notamment une connaissance à l'esprit peu louable). De là, doit on expressément tout dire concernant les possibilités offertes par les failles?
 
Dans la même veine il y a quelques temps les emballages de produits chimiques (détergents ou nettoyant du type antikal) contenant du chlore signalait qu'il ne fallait pas le mélanger avec des produits contenant des acides (débouche évier notamment). Cela fait une réaction chimique de type gaz moutarde. j'ignore ce qui s'est passé, mais là en relisant l'étiquette, il n'y a de mentionné que " ne pas mélanger à d'autres produits d'entretien"... Est ce que les failles Windows ne sont pas un peu pareilles?  dire juste "il y a une faille voilà comment la boucher" ou bien " voilà la faille et comment l'exploiter".

bah je suis resté longtemps avec moi

 
on peut faire quoi avec 3.1 a notre époque ?

Avec toutes ces histoires de TCPA, Palladium, failles et autre trust et antitrust, je me monte une machine sous Mandrake 9.1. Même si Linux signe le TCPA, c'est là que les gens seront les plus motivés pour mettre à jour un OS "sain" et le moins TCPA-compliant.  
Mieux vaut faire ça maintenant et prendre son temps pour migrer et s'adapter correctement que de devoir le faire de force, ça fait moins de mal quand on est est pas acculé    
Enfin moi je dis ça, je dis rien  

 
Perso je suis assez d'accord concernant l'idée de fuir un monde policé et fliqué à distance, malheureusement je vois juste un problème ce sera la notion de hardware. Si ces systèmes se généralisent, il y aura de moins en moins d'OS compatibles avec des composants, en dehors d'une certification adaptée, donc une intégration du TCPA Palladium...

 
espérons que l'on aura tout de même le choix des armes.

 
Il peut presque tout faire sauf les jeux en 3d, adsl, Office ...