Microsoft a confirmé qu'une partie du code source de Windows 10 a fuité
Et s'inquiète de l'usage qui pourrait en être fait

Le , par Christian Olivier, Rédacteur
Il y a quelques jours, une compilation du code de logiciel exclusif de Windows 10 de Microsoft a été divulguée en ligne, d’après les indications initiales du quotidien The Register. Contrairement à ce que laissaient penser les dernières allégations, la taille des données qui ont fuité n’était pas de 32 téraoctets, mais elle est largement plus modeste.

Par la voix de l’un de ses modérateurs, l’équipe de BetaArchive a déclaré qu’elle avait supprimé de son site Web toutes les traces du code de Microsoft concerné, une fois qu’elle a eu connaissance de cette situation qui est contraire à ses règles. Le site Web a déclaré que le dossier dans lequel ces données étaient enregistrées occupait un espace de stockage de 1,2 Go (gigaoctets) et qu’il contenait 12 fichiers de 100 Mo (mégaoctets) chacun.

« Nos analyses confirment que ces fichiers sont réellement une partie du code source [de Windows 10] du Microsoft Shared Source Initiative (MSSI) qui est, en temps normal, utilisé par les OEM et nos partenaires », a déclaré un porte-parole de l’entreprise Microsoft au média The Register.

Le Shared Source Initiative de Microsoft est un ensemble de licences, tendant vers l’open source, en fonction desquelles Microsoft publie le code source de ses logiciels depuis 2001. Il permet de distinguer 3 modèles de licences qui spécifient les conditions d’accès et de diffusion de ses produits. La Microsoft Permissive Licence (Ms-PL) est considérée comme la moins restrictive, car cette licence permet d’étudier, modifier et redistribuer le code source du logiciel de Microsoft dans un but commercial ou non. Il y a aussi la Microsoft Community Licence (Ms-CL) intéressant surtout les développements collaboratifs. Cette licence est soumise à des règles spécifiques et assortie d’accords de réciprocité. Enfin, la Microsoft Reference Licence (Ms-RL) est considérée comme la plus restrictive, car elle confère le droit d’obtenir le code source d’un programme de Microsoft uniquement à des fins de consultation. La Ms-RL interdit toute modification ou redistribution, qu’elle soit commerciale ou non, du code source et offre un moyen d’auditer les logiciels de Microsoft afin, par exemple, de chercher une porte dérobée.

Ce que Microsoft craint le plus, c’est que ces données aient été obtenues grâce à des actions de piratage de son réseau et que leur contenu puisse être utilisé par des individus mal intentionnés pour mettre à jour des vulnérabilités et exploiter des failles sur ses produits.

Source : Beta Archive, MSSI

Et vous ?

Qu'en pensez-vous ?

Voir aussi

DoubleAgent : une faille zero-day permettant d'injecter du code malveillant sur toutes les versions de Windows en détournant les antivirus
Êtes-vous pour ou contre le fait de divulguer des failles de sécurité avant que les éditeurs n'aient eu le temps de les corriger ?
Le piratage d'une énorme base de données corporate cause une fuite des données personnelles de 33 millions d'employés américains


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Tryph Tryph - Membre émérite https://www.developpez.com
le 03/07/2017 à 11:48
Citation Envoyé par Christian Olivier Voir le message
Qu'en pensez-vous ?
J'en pense que si le passage suivant est exact, on a des raisons de s'inquiéter:

Ce que Microsoft craint le plus, c’est que ces données aient été obtenues grâce à des actions de piratage de son réseau et que leur contenu puisse être utilisé par des individus mal intentionnés pour mettre à jour des vulnérabilités et exploiter des failles sur ses produits.
Car, toujours si le passage en question n'est pas un simple fantasme "journalistique" ou le fruit d'une traduction hasardeuse, ça montre bien que MS n'a pas du tout confiance en son code et qu'ils pensent qu'il est possible de trouver des mal-façons exploitables en le lisant simplement.

Edit:
Après avoir lu les 2 sources de l'article, je n'ai rien vu qui indique que MS craint la découverte de vulnérabilité... j'ai peut être lu trop vite.
Avatar de laside laside - Membre du Club https://www.developpez.com
le 03/07/2017 à 12:56
Qu'en pensez-vous ?
Au final, cela facilite juste la découverte de faille, mais même sans le code source ces failles peuvent être découvertes par des pirates non ?

Je me demande si de la retro-ingénierie est possible avec les versions de Windows disponible sur le marché ? Et si ce n'est pas plus "rentable" d'expoiter ce moyen plutôt que d’éplucher une partie de code source, qui ne doit pas être si critique au vue de l'article.
Avatar de Shepard Shepard - Membre éclairé https://www.developpez.com
le 03/07/2017 à 13:24
Ça dépends du type de faille je suppose, par exemple une backdoor peut difficilement être trouvée sans avoir accès au code source.

Mais si je comprends bien, on ne parle ici que de code source qui sert à l'intégration d'outils tiers, donc ça m'étonnerait que cette partie soit exploitable pour trouver des failles.

Par contre, je me demande à quel point il est facile pour Microsoft de tracer toutes les personnes qui ont cherché à avoir accès à ce code source ...
Offres d'emploi IT
Gestionnaire base de données h/f
Groupe Ergalis - Ile de France - Levallois-Perret (92300)
Développeur - leader futur cto
DrivePad - Nord Pas-de-Calais - Lille (59000)
Un(e) administrateur linux confirmé(e) (h/f)
ICM - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil