Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP
Comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas

Le , par Gordon Fowler

0PARTAGES

6  1 
Mise à jour du 12/07/10

Alors que la polémique continue entre ceux qui considèrent que Travis Ormandy a eu raison de publier un PoC pour forcer Microsoft à réagir à une vulnérabilité présente dans le Centre d'Aide et de Support de plusieurs de ses OS (lire ci-avant), et ceux qui considèrent ce comportement est irresponsable, le traditionnel patch de sécurité du deuxième mardi du mois de Redmond arrive.

Il marque d'une part la fin du support de Windows XP SP2. Et celle, d'autre part, de cette faille mise à jour par l'ingénieur de Google et exploitée - d'après les dires de Microsoft - sur plus de 10.000 machines.

Pas sûr en revanche qu'il puisse clore à lui tout seul le débat autour de Travis Ormandy.

Mardi dernier, un groupe anonyme a en effet déclaré vouloir se venger de Microsoft et de "sa campagne anti-Ormandy" en cherchant d'autres vulnérabilités de Windows.

Travis Ormandy n'a de son coté pas réagi à l'annonce de la formation de ce groupe de soutien d'un nouveau type.

MAJ de Gordon Fowler

La faille découverte par un employé de Google exploitée sur 10.000 PC
Selon les chiffres de Microsoft

Mise à jour du 01/07/10


Microsoft vient de révéler que la faille de Windows XP découverte au début du mois par un ingénieur de Google, Travis Ormandy, avait effectivement été exploitée.

Ormandy avait décidé de publier un PoC (Proof of Concept, ou preuve de faisabilité) ce qui n'avait pas manqué de provoquer la colère de Microsoft.

Face aux critiques, Ormandy avait alors affirmé qu'il avait essayé de convaincre Microsoft de l'importance de cette faille pendant 60 jours.

Toujours est-il que, d'après Microsoft, sa démonstration a donné des idées aux cybercriminels. Les premières attaques ont été repérées vers le 15 juin, « ces premiers exploits étaient ciblés et plutôt limités. Mais depuis les dernières semaines ils ont atteint un pic », peut-on lire sur le blog de Microsoft qui avance ce chiffre de 10.000 PC attaqués avec succès.

Le PoC d'Ormandy permet de télécharger et d'installer des logiciels malicieux, des virus et des Trojans. Un malware, baptisé Obitel, permet par exemple de télécharger encore plus d'applications malveillantes.

Le 10 juin, Micosoft avait publié un bulletin de sécurité qui expliquait comment se protéger en désactivant notamment le Centre d'Aide et de Support de l'OS.

Les PC les plus touchés sont localisés en Russie et au Portugal, pays cousin du Brésil également fortement concerné (et base arrière de plus en plus active des attaques des cybercriminels). Les Etats-Unis et l'Allemagne sont également très ciblés.

Ces chiffres relancent la polémique sur le fait de savoir si Ormandy a été inconscient de publier ce PoC, ou s'il appartenait à Microsoft de réagir en urgence.

Toujours est-il que le prochain patch de sécurité pour Windows XP est attendu, de manière traditionnelle, pour le deuxième mardi de ce mois (le 13 juillet).

Que pour le 13 juillet ?

Source : Billet de Microsoft

Et vous ?

Ormandy a-t-il été inconscient de publier ce PoC ou appartenait-il à Microsoft de réagir en urgence ?

MAJ de Gordon Fowler

Mise à jour du 16/06/10

Les pirates exploiteraient déjà la faille de Windows XP
Divulguée par un employé de Google, qui se défend des accusations de Microsoft

Tavis Ormandy, l'employé de Google qui a mis à jour une faille dans le Centre d'Aide et de Support de Windows XP et qui a publié un exploit montrant comment il était possible d'en tirer profit, se défend d'avoir eu un comportement irresponsable.

Il affirme dans un Tweet que, contrairement aux dires de Microsoft, il n'a pas laissé 5 jours mais deux mois à l'éditeur de Windows (60 jours) pour colmater la faille.

Ce serait donc l'inertie de Redmond qui l'aurait décidé à rendre publique une preuve de faisabilité (lire ci-avant).

Accusation contre accusation donc, les choses risquent encore moins de se calmer depuis que Sophos, fournisseur de solutions de sécurité, a publié un post dans lequel il révèle avoir repéré des attaques qui utilisent ces travaux.

« Aujourd'hui, nous avons détecté pour la première fois un malware qui se propage via des sites compromis. Ce logiciel malicieux télécharge et exécute des composants malveillants (Troj/Drop-FS) sur l'ordinateur des victimes en exploitant cette vulnérabilité [NDR : celle du Centre d'Aide et de Support de Windows] ».

Microsoft ne contredit pas ce constat, mais note que les attaques sont très limitées.

Pour l'instant.

Car pour la société, il ne fait aucun doute que les choses vont empirer. La divulgation publique de cet exploit par Ormandy ne pourrait avoir que des conséquences négatives et les experts en sécurité de Microsoft s'attendent à une montée en puissance des attaques.

Pour mémoire Windows Server 2003 est également impacté et un correctif sorti en urgence est disponible sur le site de Microsoft.

Il doit permettre de sécuriser les deux OS dans l'attente d'une mise à jour de sécurité plus complète.

Quant à la polémique, elle continue d'enfler autour de ces 60 jours et de ces attaques « in the wild ».

Etait-ce la bonne manière de faire de la part d'Ormandy ? Y'a-t-il des arrières pensées dans ses travaux (lire ci-avant) ? Microsoft a-t-il été trop lent à réagir ?

Autant de questions qui devraient laisser des traces durables dans les relations, déjà tendues, entre Google et Microsoft.

Source : Le Tweet de Tavis Ormandy et la publication de Sophos

MAJ de Gordon Fowler

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP
Comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas

Rien ne va plus entre Microsoft et Google.

Tavis Ormandy est expert en sécurité chez Google. Le 5 juin dernier, il avait mis à jour une faille dans le Centre d'Aide et de Support de Windows XP. La faille concernait également Windows Server 2003.

Jusqu'ici tout va (presque) bien.

Le problème vient du fait que Tavis Ormandy a ensuite décidé de mettre au point un « proof of concept », une preuve de faisabilité qui montre comment exploiter cette faille. Il n'y a a priori rien de choquant dans cette démarche assez classique. Sauf que ce début d'exploit a été publié moins de 5 jours après la découverte de la vulnérabilité.

Un délai beaucoup trop court et une attitude irresponsable selon Microsoft.

Ormandy justifie sa décision en soulignant que c'était, d'après lui, le seul moyen d'attirer rapidement et sérieusement l'attention de Microsoft (« Je voudrais souligner que [...] sans avoir réalisé cet exploit, j'aurais été ignoré », écrit-il à la fin de sa publication). A sa décharge, on notera également qu'il a également décider de publier des pistes de corrections.

Mais la solution qu'il propose ne convainc pas Microsoft. Au contraire, ses experts en sécurité ne décolèrent pas et commencent à soupçonner des intentions cachées chez Ormandy.

Y aurait-il une volonté de Google de discréditer Windows ?

Après l'annonce de Google sur l'abandon progressif de l'OS en interne, Microsoft semble sérieusement commencer à y croire.

On pourra rétorquer que ce n'est pas Google mais un de ses employés - à titre personnel - qui a publié la faille et le Poc. C'est d'ailleurs la ligne de communication tenue par Google.

Mais c'est surtout le délai laissé à ses équipes qui énerve Redmond.

« La communication publique sur les détails de cette vulnérabilité et sur la manière de l'exploiter sans nous laisser le temps de résoudre le problème […] augmentent la probabilité d'attaques et mettent nos clients en danger », écrit ainsi Mike Reavy sur le blog dédié aux questions de sécurité de Microsoft. « Bien que cette découverte du chercheur de Google ait été une bonne chose, il s'avère que son analyse est incomplète et que la solution qu'il suggère est facilement contournable ».

Et de conclure : « Quelque fois, il faut plus de temps pour réaliser une mise à jour efficace qui ne provoque pas des problèmes de qualité ».

Un correctif officiel (le 2219475) a ensuite été ajoutée à cette réponse.

Espérons pour Google que son futur système d'exploitation, Chrome OS (qui devient par ailleurs de plus en plus prometteur) sera au point niveau sécurité.

Il y a fort à parier que de nombreux employés de Microsoft prendront beaucoup de leur temps libre pour le mettre à l'épreuve.

En toute indépendance cela va s'en dire.

Source : La publication de la découverte de Tavis Ormandy et la réponse de l'équipe de Microsoft

Lire aussi :

Microsoft corrige 34 vulnérabilités touchant Windows, dont plusieurs critiques dans le plus gros "Patch Tuesday" de 2010
Pourriez-vous battre les hackers à leur propre jeu ? Une mise en situation sur Google Code vous permet de le savoir
Aucun antivirus ne résiste aux attaques lancées lors du concours de hackers Pwn2kill : les éditeurs de sécurité font-ils bien leur travail ?

Les rubriques (actu, forums, tutos) de Développez :

Windows
Sécurité
Systèmes

Et vous ?

D'après vous, dans cette affaire, Tavis Ormandy a-t-il agit en totale indépendance par rapport à son employeur ?

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP aussi rapidement ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de grafikm_fr
Expert confirmé https://www.developpez.com
Le 27/07/2010 à 11:32
Citation Envoyé par GanYoshi Voir le message
Ce fait aurait peut-être pu être évité s'il n'y avait pas eu de faille.
"And if a pig had wings, it could fly" (c)
9  0 
Avatar de stardeath
Membre expert https://www.developpez.com
Le 21/07/2010 à 12:45
Citation Envoyé par couik Voir le message
@Louis Groffont : Concernant les bugs, ils sont je pense en majorité corrigés, mais concernant certains, entre la découverte et le correctif, il se passe énormément de temps. Au passage, déformer un temps soit peu les propos fait aussi parti de la politique de Microsoft. (Cf les dénonciation calomnieuse à l'encontre de Linux pour soit disant copie de code alors que Microsoft refuse de le prouver ^^ - les exemples sont nombreux :S - ). Défendre l'image d'une société est une chose, idolâtrer une société en est une autre

Ou alors, si je me trompe (ce que j'espère), leur communication reste très minimaliste et peu rassurante

Par expérience, ayant eu l'utilisation (forcé ) de MS Windows XP, j'ai mis à jour avec update, avec les SPx et hop, certains bugs corrigés et d'autres ajoutés.

Chose étrange, à peine sorti, les nouvelles versions de Windows offrent en quelques semaines des correctifs... Est-ce là une preuve d'un respect du client en offrant un outil bugué alors que retarder un peu la sortie de la version peut permettre de corriger une bonne partie des bugs ?

J'en ai pas une bonne expérience et ma perte de confiance vis à vis de Microsoft est pour l'instant total (ce qui ne m'empêche pas de reconnaitre certaines qualités ^^)

Franchement, acheter une licence pour un soft que je sais par avance bugué, qui une fois installé suppose une mise à jour, c'est bien qu'il y a un soucis quelque part non ?

Maintenant, qu'on me trouve que Microsoft s'est acheté une morale et on avisera.
bah dans ce cas arrêtes l'informatique, vu que de toute façon TOUS les logiciels possèdent des bugs.

quand à la correction de bugs, tout le temps que j'ai utilisé windows xp (càd jusqu'à vista) j'ai tous les mois eut à mettre à jour ma machine avec les patchs de sécurité et autre. pas seulement les premières semaines.

après je vois surtout que la paranoia s'installe quand il s'agit de microsoft, mais que dès que c'est open source, on y va les yeux fermés...
7  0 
Avatar de ferber
Membre éprouvé https://www.developpez.com
Le 17/06/2010 à 12:43
Citation Envoyé par Porkepix Voir le message

EDIT: Ah et pour le coup de révéler la faille, si M$ a refusé de s'en occuper dans un temps raisonnable, personnellement je trouve que c'est défendable.
Il faut qu'ils assument leur position d'OS le plus répandu sur le marché. Je vois pas pourquoi des OS justement bien moins utilisés seraient plus fiables et patchés plus rapidement....
Ce n'est pas défendable ! Ce mec et un danger public et mérite la prison.
Un utilisateur qui tourne sur xp, doit-il payer la lenteur de Ms, car une seule personne en a décidé, sans consulter personne, pour se faire mousser ?
La faille c'est les utilisateurs de xp et ms qui la subisse.
Cela prouve un grand mépris des utilisateurs d'xp de la part de ce googleur.
Et une belle vision de l'open sources :<< il faut faire payer tous ceux qui ne sont pas d'accord avec nous.>>
Le message est clair : <<restez sur windows et ont fera en sorte que votre pc finisse à la poubelle.>>
Ce sont des méthodes de mafieux.
Du coup qui met les utilisateurs d'xp en danger : Google, ces employés, et les personnes à la vision "open" qui trouve que ce comportement est normal.
Mais qui protège les utilisateurs d'xp : MS.
5  0 
Avatar de cbleas
Membre éprouvé https://www.developpez.com
Le 22/07/2010 à 11:00
Code : Sélectionner tout
1
2
Je répète alors ma question (qui ne concerne pas Linux, rappelles toi ^^). J'ai déjà acquis une licence Windows, mon PC est casser et inutilisable, donc je rachète un autre PC mais je ne veux pas reprendre une licence. Je vais chez Dell... comment je fais ?
quand vous avez acquis la licence c'était certainement en EOM donc beaucoup moins cher et associé à l'ordinateur sur lequel c'est installé
5  0 
Avatar de loufab
Rédacteur/Modérateur https://www.developpez.com
Le 22/07/2010 à 13:36
Couik et Louis s'entendent comme larrons en foire... ils vont finir par se marier c'est 2 là.

On dirait le couple de vieux du moppet show.


5  0 
Avatar de GanYoshi
Membre chevronné https://www.developpez.com
Le 29/07/2010 à 13:17
Citation Envoyé par dams78 Voir le message
Et juridiquement, qu'est ce qui oblige l'éditeur de corriger les failles?
Absolument rien.

Pour détendre l'atmosphère, voilà une image qui reflète parfaitement la vision qu'ont certains ici de la sécurité :

http://geekandpoke.typepad.com/.a/6a...a682970c-800wi
5  0 
Avatar de Haress
Membre à l'essai https://www.developpez.com
Le 16/06/2010 à 14:40
Un type trouve un moyen pour reproduire les clés de vos maisons. Il vous laisse 5 jours pour changer la serrure, après quoi, il filera à tout un chacun le moyen de les reproduire lui aussi, vous allez franchement trouver ce mec super honnête?
Soit disant que s'il incite les gens à venir vous voler en toute impunité, c'est uniquement pour votre sécurité future! Va raconter ça au mec qui aura perdu tout son matos, car pas assez rapide !
4  0 
Avatar de stardeath
Membre expert https://www.developpez.com
Le 16/06/2010 à 8:38
Citation Envoyé par couik Voir le message
Un OS vieux de plus de 9 ans ...
tu as mis le doigt sur un problème, l'os a 9 ans, et je doute que même les éditeurs de solutions linux aient des supports aussi longs (pour info ubuntu desktop lts a un support de 3 ans).
3  0 
Avatar de cbleas
Membre éprouvé https://www.developpez.com
Le 21/07/2010 à 13:55
Code : Sélectionner tout
1
2
3
4
5
6
Citation:
Envoyé par couik  
mais je n'admets pas courir des risques sous prétexte que l'éditeur ne s'investit pas plus dans la sécurité des outils qu'il propose. Si au moins, Microsoft avait l'honnêteté de dire quand il travail sur une faille, sans pour autant dire quelle faille ou autre info. Les relation avec les clients seraient plus rassurantes.
s'investir? bah je crois qu'en sortant régulièrement des mises à jour, patchs et autre, microsoft prouve justement qu'il s'investit dans ses produits.

après le problème c'est qu'on ne sait pas ce qu'il y a eut entre l'ingé et microsoft, comme on ne sait pas non plus le "calendrier" de réparation des bugs de microsoft.
C'est d'ailleurs pour cela que microsoft fourni gratuitement un antivirus
3  0 
Avatar de Louis Griffont
Inactif https://www.developpez.com
Le 22/07/2010 à 11:42
Cher Couik,

Je ne déforme rien. Je parlais de l'éternel débat, généralement lancé par les utilisateurs de Linux (et oui je reparle de linux , mais si tu lis bien, c'est justifié) comme quoi, chaque personne achetant un ordinateur se verrait mettre un couteau sous la gorge par un employé de Microsoft, l'obligeant à acheter Windows.

Ensuite, pour ton PC cassé, comme l'a dit cbleas, ta licence de Windows n'est valable QUE pour le PC en question, sauf si, cas très rare, tu l'as acheté séparément. Mais dans ce cas, tu peux demander à être remboursé de la licence nouvellement acquise, comme l'a fait remarqué Dams78.

Ce que je pense, c'est qu'aller acheter un PC dans un super marché et se plaindre que ce n'est pas un magasin d'informatique, c'est nul ! Ensuite si DELL ne veut vendre que des ordinateurs avec Windows, c'est parfaitement son droit. Mais personne ne t'oblige à acheter ton PC chez DELL, il me semble.

Ensuite, dire que Microsoft se moque de ses clients et vend des OS buggués et ne fonctionnement pas, je trouve cela ridicule. J'utilise Windows depuis la version 1.0 et avant cela j'étais avec MS-DOS (MS pour Microsoft), et même si j'ai pesté contre certaines fonctionnalités, ça a toujours fonctionné, et chaque version apporte son lot d'améliorations et de problèmes comme tous les logiciels. Aujourd'hui, j'utilise Windows Seven et j'en suis ravi.
3  0