Les pirates exploiteraient déjà la faille de Windows XP
Divulguée par un employé de Google, qui se défend des accusations de Microsoft

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 12/07/10

Alors que la polémique continue entre ceux qui considèrent que Travis Ormandy a eu raison de publier un PoC pour forcer Microsoft à réagir à une vulnérabilité présente dans le Centre d'Aide et de Support de plusieurs de ses OS (lire ci-avant), et ceux qui considèrent ce comportement est irresponsable, le traditionnel patch de sécurité du deuxième mardi du mois de Redmond arrive.

Il marque d'une part la fin du support de Windows XP SP2. Et celle, d'autre part, de cette faille mise à jour par l'ingénieur de Google et exploitée - d'après les dires de Microsoft - sur plus de 10.000 machines.

Pas sûr en revanche qu'il puisse clore à lui tout seul le débat autour de Travis Ormandy.

Mardi dernier, un groupe anonyme a en effet déclaré vouloir se venger de Microsoft et de "sa campagne anti-Ormandy" en cherchant d'autres vulnérabilités de Windows.

Travis Ormandy n'a de son coté pas réagi à l'annonce de la formation de ce groupe de soutien d'un nouveau type.

MAJ de Gordon Fowler

La faille découverte par un employé de Google exploitée sur 10.000 PC
Selon les chiffres de Microsoft

Mise à jour du 01/07/10


Microsoft vient de révéler que la faille de Windows XP découverte au début du mois par un ingénieur de Google, Travis Ormandy, avait effectivement été exploitée.

Ormandy avait décidé de publier un PoC (Proof of Concept, ou preuve de faisabilité) ce qui n'avait pas manqué de provoquer la colère de Microsoft.

Face aux critiques, Ormandy avait alors affirmé qu'il avait essayé de convaincre Microsoft de l'importance de cette faille pendant 60 jours.

Toujours est-il que, d'après Microsoft, sa démonstration a donné des idées aux cybercriminels. Les premières attaques ont été repérées vers le 15 juin, « ces premiers exploits étaient ciblés et plutôt limités. Mais depuis les dernières semaines ils ont atteint un pic », peut-on lire sur le blog de Microsoft qui avance ce chiffre de 10.000 PC attaqués avec succès.

Le PoC d'Ormandy permet de télécharger et d'installer des logiciels malicieux, des virus et des Trojans. Un malware, baptisé Obitel, permet par exemple de télécharger encore plus d'applications malveillantes.

Le 10 juin, Micosoft avait publié un bulletin de sécurité qui expliquait comment se protéger en désactivant notamment le Centre d'Aide et de Support de l'OS.

Les PC les plus touchés sont localisés en Russie et au Portugal, pays cousin du Brésil également fortement concerné (et base arrière de plus en plus active des attaques des cybercriminels). Les Etats-Unis et l'Allemagne sont également très ciblés.

Ces chiffres relancent la polémique sur le fait de savoir si Ormandy a été inconscient de publier ce PoC, ou s'il appartenait à Microsoft de réagir en urgence.

Toujours est-il que le prochain patch de sécurité pour Windows XP est attendu, de manière traditionnelle, pour le deuxième mardi de ce mois (le 13 juillet).

Que pour le 13 juillet ?

Source : Billet de Microsoft

Et vous ?

Ormandy a-t-il été inconscient de publier ce PoC ou appartenait-il à Microsoft de réagir en urgence ?

MAJ de Gordon Fowler

Mise à jour du 16/06/10

Les pirates exploiteraient déjà la faille de Windows XP
Divulguée par un employé de Google, qui se défend des accusations de Microsoft

Tavis Ormandy, l'employé de Google qui a mis à jour une faille dans le Centre d'Aide et de Support de Windows XP et qui a publié un exploit montrant comment il était possible d'en tirer profit, se défend d'avoir eu un comportement irresponsable.

Il affirme dans un Tweet que, contrairement aux dires de Microsoft, il n'a pas laissé 5 jours mais deux mois à l'éditeur de Windows (60 jours) pour colmater la faille.

Ce serait donc l'inertie de Redmond qui l'aurait décidé à rendre publique une preuve de faisabilité (lire ci-avant).

Accusation contre accusation donc, les choses risquent encore moins de se calmer depuis que Sophos, fournisseur de solutions de sécurité, a publié un post dans lequel il révèle avoir repéré des attaques qui utilisent ces travaux.

« Aujourd'hui, nous avons détecté pour la première fois un malware qui se propage via des sites compromis. Ce logiciel malicieux télécharge et exécute des composants malveillants (Troj/Drop-FS) sur l'ordinateur des victimes en exploitant cette vulnérabilité [NDR : celle du Centre d'Aide et de Support de Windows] ».

Microsoft ne contredit pas ce constat, mais note que les attaques sont très limitées.

Pour l'instant.

Car pour la société, il ne fait aucun doute que les choses vont empirer. La divulgation publique de cet exploit par Ormandy ne pourrait avoir que des conséquences négatives et les experts en sécurité de Microsoft s'attendent à une montée en puissance des attaques.

Pour mémoire Windows Server 2003 est également impacté et un correctif sorti en urgence est disponible sur le site de Microsoft.

Il doit permettre de sécuriser les deux OS dans l'attente d'une mise à jour de sécurité plus complète.

Quant à la polémique, elle continue d'enfler autour de ces 60 jours et de ces attaques « in the wild ».

Etait-ce la bonne manière de faire de la part d'Ormandy ? Y'a-t-il des arrières pensées dans ses travaux (lire ci-avant) ? Microsoft a-t-il été trop lent à réagir ?

Autant de questions qui devraient laisser des traces durables dans les relations, déjà tendues, entre Google et Microsoft.

Source : Le Tweet de Tavis Ormandy et la publication de Sophos

MAJ de Gordon Fowler

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP
Comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas

Rien ne va plus entre Microsoft et Google.

Tavis Ormandy est expert en sécurité chez Google. Le 5 juin dernier, il avait mis à jour une faille dans le Centre d'Aide et de Support de Windows XP. La faille concernait également Windows Server 2003.

Jusqu'ici tout va (presque) bien.

Le problème vient du fait que Tavis Ormandy a ensuite décidé de mettre au point un « proof of concept », une preuve de faisabilité qui montre comment exploiter cette faille. Il n'y a a priori rien de choquant dans cette démarche assez classique. Sauf que ce début d'exploit a été publié moins de 5 jours après la découverte de la vulnérabilité.

Un délai beaucoup trop court et une attitude irresponsable selon Microsoft.

Ormandy justifie sa décision en soulignant que c'était, d'après lui, le seul moyen d'attirer rapidement et sérieusement l'attention de Microsoft (« Je voudrais souligner que [...] sans avoir réalisé cet exploit, j'aurais été ignoré », écrit-il à la fin de sa publication). A sa décharge, on notera également qu'il a également décider de publier des pistes de corrections.

Mais la solution qu'il propose ne convainc pas Microsoft. Au contraire, ses experts en sécurité ne décolèrent pas et commencent à soupçonner des intentions cachées chez Ormandy.

Y aurait-il une volonté de Google de discréditer Windows ?

Après l'annonce de Google sur l'abandon progressif de l'OS en interne, Microsoft semble sérieusement commencer à y croire.

On pourra rétorquer que ce n'est pas Google mais un de ses employés - à titre personnel - qui a publié la faille et le Poc. C'est d'ailleurs la ligne de communication tenue par Google.

Mais c'est surtout le délai laissé à ses équipes qui énerve Redmond.

« La communication publique sur les détails de cette vulnérabilité et sur la manière de l'exploiter sans nous laisser le temps de résoudre le problème […] augmentent la probabilité d'attaques et mettent nos clients en danger », écrit ainsi Mike Reavy sur le blog dédié aux questions de sécurité de Microsoft. « Bien que cette découverte du chercheur de Google ait été une bonne chose, il s'avère que son analyse est incomplète et que la solution qu'il suggère est facilement contournable ».

Et de conclure : « Quelque fois, il faut plus de temps pour réaliser une mise à jour efficace qui ne provoque pas des problèmes de qualité ».

Un correctif officiel (le 2219475) a ensuite été ajoutée à cette réponse.

Espérons pour Google que son futur système d'exploitation, Chrome OS (qui devient par ailleurs de plus en plus prometteur) sera au point niveau sécurité.

Il y a fort à parier que de nombreux employés de Microsoft prendront beaucoup de leur temps libre pour le mettre à l'épreuve.

En toute indépendance cela va s'en dire.

Source : La publication de la découverte de Tavis Ormandy et la réponse de l'équipe de Microsoft

Lire aussi :

Microsoft corrige 34 vulnérabilités touchant Windows, dont plusieurs critiques dans le plus gros "Patch Tuesday" de 2010
Pourriez-vous battre les hackers à leur propre jeu ? Une mise en situation sur Google Code vous permet de le savoir
Aucun antivirus ne résiste aux attaques lancées lors du concours de hackers Pwn2kill : les éditeurs de sécurité font-ils bien leur travail ?

Les rubriques (actu, forums, tutos) de Développez :

Windows
Sécurité
Systèmes

Et vous ?

D'après vous, dans cette affaire, Tavis Ormandy a-t-il agit en totale indépendance par rapport à son employeur ?

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP aussi rapidement ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Marco46 Marco46 - Expert éminent http://www.developpez.com
le 28/07/2010 à 15:51
Ok.

Donc si je résume :

Je connais une faille de sécurité.
Je n'ai aucun moyen de savoir si un tiers (honnête ou pas) est un courant.

J'informe le public : -> je me fais attaquer parce que je mets en danger les autres en expliquant la faille.

Je n'informe pas le public pour ne pas mettre en danger les autres, quelqu'un se fait pirater, il y a enquête puis tribunal -> je peux être inquiété pour ne pas avoir publié la faille.

C'est pas ce qu'on appelle un choix cornélien ?
Avatar de Fenn_ Fenn_ - Membre actif http://www.developpez.com
le 28/07/2010 à 16:00
Nan, c'est ce qu'on appelle un flou juridique
Avatar de Louis Griffont Louis Griffont - Inactif http://www.developpez.com
le 28/07/2010 à 16:09
Citation Envoyé par Marco46  Voir le message
Ok.

Donc si je résume :

Je connais une faille de sécurité.
Je n'ai aucun moyen de savoir si un tiers (honnête ou pas) est un courant.

J'informe le public : -> je me fais attaquer parce que je mets en danger les autres en expliquant la faille.

Je n'informe pas le public pour ne pas mettre en danger les autres, quelqu'un se fait pirater, il y a enquête puis tribunal -> je peux être inquiété pour ne pas avoir publié la faille.

C'est pas ce qu'on appelle un choix cornélien ?

Si tu connais une faille, tu préviens l'éditeur, qui corrige dans les délais les plus brefs.
Avatar de Marco46 Marco46 - Expert éminent http://www.developpez.com
le 28/07/2010 à 16:10
Et s'il corrige pas ?
Avatar de Louis Griffont Louis Griffont - Inactif http://www.developpez.com
le 28/07/2010 à 16:12
Citation Envoyé par Marco46  Voir le message
Et s'il corrige pas ?

Tu portes plainte.
Avatar de Marco46 Marco46 - Expert éminent http://www.developpez.com
le 28/07/2010 à 16:28
Donc je suis obligé de porter plainte avec mes petits bras musclé et l'aide juridique pour pas aller en zonzon.

C'est bien foutu le système quand même.
Avatar de Hellwing Hellwing - Membre chevronné http://www.developpez.com
le 28/07/2010 à 16:47
En tout cas tu ne pourras ni être attaqué parce que tu n'as informé personne, ni parce que tu as donné l'information à des gens mal intentionnés.

D'un point de vue juridique on nage effectivement dans le plus grand flou. Mais hormis ce point de vue qu'on pourrait qualifier d'égoïste ("je dis quelque chose ou pas, c'est moi qui mange") mais très intéressant, il reste quand même l'impact de la décision.
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 29/07/2010 à 11:44
Et juridiquement, qu'est ce qui oblige l'éditeur de corriger les failles?
Avatar de GanYoshi GanYoshi - Membre chevronné http://www.developpez.com
le 29/07/2010 à 13:17
Citation Envoyé par dams78  Voir le message
Et juridiquement, qu'est ce qui oblige l'éditeur de corriger les failles?

Absolument rien.

Pour détendre l'atmosphère, voilà une image qui reflète parfaitement la vision qu'ont certains ici de la sécurité :

http://geekandpoke.typepad.com/.a/6a...a682970c-800wi
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 29/07/2010 à 14:02
Citation Envoyé par GanYoshi  Voir le message
Absolument rien.

Pour détendre l'atmosphère, voilà une image qui reflète parfaitement la vision qu'ont certains ici de la sécurité :

http://geekandpoke.typepad.com/.a/6a...a682970c-800wi

Du coup c'est bien gentil de trouver une faille et de la faire suivre à l'éditeur mais s'il s'en foût...
Ensuite perdre du temps à le relancer et à vérifier ce qu'il fait, bah d'une il faut du temps, et de deux vous savez vous si l'éditeur X en ce moment même travaille sur la faille Y?
Avatar de loufab loufab - Rédacteur/Modérateur http://www.developpez.com
le 29/07/2010 à 14:13
Citation Envoyé par Marco46  Voir le message
Donc je suis obligé de porter plainte avec mes petits bras musclé et l'aide juridique pour pas aller en zonzon.

C'est bien foutu le système quand même.

Même pas ! L'aide juridique (ou Laide juridique) est réservé au gens qui ne sont pas solvable. Donc tu vas être obligé de :
- solder tes comptes en banques
- vendre tes biens (voiture, animaux, femme...)
- t'endéter auprès d'une banque (le terme légal pour usurier)
Mais comme en face de toi tu as un poids lourd avec des dizaines d'avocats et que de toute façon "l'aide juridique" n'est jamais comptétente là ou elle envoyé, mal payée donc pas interessée et pressée d'en finir qu'elle qu'en soit l'issu. (it's joke)

Offres d'emploi IT
Reconversion ingénieur informatique h/f
Adaming - Ile de France - Paris(75000)
Ingénieur support N3 - e-confiance H/F
Oodrive - Ile de France - Paris 10
Développeur microsoft dynamics ax h/f
UTiGROUP - Ile de France - Gennevilliers (92230)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil