Microsoft vient de mettre en ligne un nouveau correctif de sécurité (n° 828750), non pas pour corriger une nouvelle faille mais pour combler les lacunes d’une précédente rustine, la MS03-032. Celle-ci devait notamment empêcher l’exploitation d’une faille d’Internet Explorer (5.01, 5.5 et 6.0) liée à l’instruction « Object Data » et d’autres fonctions DHTML, notamment associées au lecteur Windows Media Player. Ces failles permettent à un attaquant d’exécuter du code sur une machine distante, à partir d’une simple page HTML. Le cheval de Troie Qhosts exploite notamment cette faille pour modifier les paramètres des serveurs de noms de domaines Windows, ce qui lui permet de rediriger les requêtes sur la même machine afin de préparer, éventuellement, une attaque incapacitante. Le patch MS03-032 fut donc le bienvenu. Mais il s’est avéré que le correctif ne remplissait que partiellement sa mission. Microsoft vient donc (enfin) de combler entièrement – on l’espère – la faille avec ce nouveau correctif.
Une autre vision de la sécurité
Il serait bon pour l’éditeur de Windows que ce correctif fonctionne parfaitement car il pourrait, à l’avenir, cumuler les procès à son encontre sur le sujet de la sécurité. L’éditeur de Redmond a notamment confirmé avoir reçu une plainte en justice l’accusant de rendre les ordinateurs sous Windows vulnérables aux virus. Conscient que sa gestion des failles système à coup de correctifs, souvent mal appliqués, n’offre pas la solution idéale aux attaques virales, Microsoft a donc décidé de chercher une autre voie pour protéger les ordinateurs de ses clients. L’éditeur devrait donc prochainement annoncer une nouvelle stratégie sécuritaire dite « Shield technology » (technologie bouclier). Celle-ci viserait à sécuriser l’ordinateur dans son ensemble et non plus les applications propres à Microsoft.
Espérons que cette nouvelle politique ne se limite pas aux effets d’annonce. Il y a plus d’un an, Bill Gates lançait « l’informatique digne de confiance » (Trustworthy Computing) et invitait les employés de Microsoft à privilégier la sécurité dans le développement des produits maison (voir édition du 17 janvier 2002). Force est de constater qu’aujourd’hui, soit l’architecte en chef de Microsoft n’est pas écouté de ses employés, soit il s’agissait d’un discours marketing bien mené pour restaurer la confiance des clients.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…