Je crois que je vais vous surprendre en disant ceci : j'ai envie d'arrêter de parler de Microsoft
. Et je ne plaisante pas. En écrivant hier mon article intitulé Ballmer et moi sommes d'accord, je pensais bien avoir fait le tour du sujet. Un genre de point d'orgue pour une série d'article sur les pratiques de Microsoft et ses problèmes de sécurité. Et pourtant, chaque jour apporte son lot d'information, d'articles relatant des histoires monstrueuses sur le sujet. Allez, juste deux touts petits articles pour aujourd'hui :
- Microsoft poursuivi en justice pour ses problème de sécurité. Ca devait arriver... Je parlais hier de
co-responsabilité
, mais il ne faudrait pas oublier que les administrateurs (en entreprise) et les particuliers sont aussi responsables. Dans le cadre de cette attaque en justice, je trouve quand même que Microsoft a le dos large. Et si vous avez un accident en roulant trop vite sous la pluie, vous attaquez Renault, Meteo-France et Michelin ? - Quand l'utilisation de Microsoft Outlook peut couler votre entreprise. Source : Totalement Crétin. Grâce à une des vulnérabilités du logiciel Microsoft, un pirate installe un logiciel qui capte les mots de passe de l'utilisateur visé. Il accède au compte mail de la victime, puis récupère la totalité du code source du logiciel sur le point d'être commercialisé. Pire, le code source en question est publié sur Internet. La société se remettra-t-elle de ce coup de poignard ? Et vous, êtes vous certain que cela ne peut pas vous arriver ? Utilisez-vous Internet Explorer, Outlook ou Outlook Express ? Que se passerait-il si quelqu'un accédait à votre messagerie, connaîssait tous vos mots de passe, accédait librement au réseau local de votre entreprise ? Avez-vous des données confidentielles dans votre entreprise ?
Comment faire pour limiter les risques ? (par ordre croissant de difficulté)
- installer les derniers patchs de sécurité Microsoft via WindowsUpdate
- utiliser une messagerie alternative, avec des paramètres de sécurité soigneusement choisis (ne pas afficher les images distantes, interdire Javascript dans les messages), utiliser un navigateur alternatif récent.
- utiliser un système d'exploitation alternatif comme Linux (avec une version récente et les patchs installés) ou MacOSX
10 réactions
1 De LaurentJ - 03/10/2003, 12:39
Je ne suis pas d'accord sur le fait que les particuliers sont responsables. Les commerciaux de Microsoft ont longtemps rabaché à longueur de temps que leurs produits étaient sécurisés. Le particulier, qui n'y connait généralement rien en sécurité informatique, fait confiance. Aprés tout, Microsoft numero 1, c'est qu'il doit être au top.
Si outlook &co avaient été conçu correctement, les virus mails n'auraient jamais existé, ou en tout cas, seraient anécdotiques.
La seule responsabilité qu'ils ont, c'est lorsqu'ils ouvrent sciement des pieces jointes vérolées dont ils ne connaissent pas la provenance. Mais dans ce cas, c'est pas Microsoft qu'il faut mettre en cause.
Quant aux admins, certes, c'est leurs boulots de patcher et de veiller au grain. Mais ils n'ont pas que ça à faire non plus. Et pour suivre la cadence des patchs, faudrait bientôt un service dédié dans chaque PME ! Sans compter la gène occasionnée dans le travail des salariés lors de mise à jours. Au rythme des patchs microsofts, ça devient intenable. Et finalement, tout ça ça a un coût, trop important certainement pour beaucoup de boites.. (vous allez dire, oui mais quand un virus fait des dégats, ça a aussi un coût...)
Bref, pour moi la responsabilité de Microsoft est bien plus grande que celle des admins ou des particuliers. Les logiciels devraient être conçu pour eviter tout les désagréments qu'on connait.
2 De Darken - 03/10/2003, 13:05
« Les logiciels devraient être conçu pour eviter tout les désagréments qu'on connait. »
Certes, mais la mauvaise qualité de certains produits de Microsoft est une manne pour les solutions alternatives. J'ai longtemps utilisé IE en critiquant Netscape, trouvant ce dernier lent et instable. Je soutenais le meilleur produit à l'époque.
Maintenant la situation a changé, IE est loin d'être le meilleur navigateur, et quelque part c'est tant mieux, ça permet de chatouiller un peu le ms-monopole en s'orientant vers des produits « concurrents ».
3 De Julien Queinnec - 03/10/2003, 13:44
Je ne suis pas tout à fait d'accord sur la politique "il faut avoir la dernière version à jour bien patchée".
Ce discour est très commercial et dans les faits mensongers. Avoir un système à jour est un plus, mais ce n'est absolument pas la bonne méthode en matière de sécurité. C'est d'abord dans la formation des utilisateurs et dans une politique globale de sécurité qu'il faut investir. Tant que l'on dira qu'il faut avoir le dernier patch installé pour être en sécurité, on aura toujours des virus qui circuleront. Parce que le discours qui est derrière la politique "système à jour" c'est que c'est seulement le système qui est en cause (et pas du tout le comportement de l'utilisateur ou la configuration du poste et des logiciels) et aussi qu'il faut avoir la dernière version pour être en sécurité (politique qui arrange Microsoft puisqu'elle conduit l'utilisateur à automatiquement passé à une nouvelle version même quand elle est payante).
J'ai reçu plusieurs centanes d'exemplaires de Swen et pourtant je n'ai pas été infecté sans être forcément à jour. Parce que je suis formé et sensibilisé au problème et que je n'agis pas mécaniquement et sans discernement.
Si la vague de virus pouvait apprendre aux gens à réfléchir avant d'agir, ça serait un mieux. Mais je dois être utopiste (j'aimerais penser qu'à force de lire des bêtises contradictoires sur le Net, les gens apprendaient à réfléchir par eux-même
4 De k-life - 03/10/2003, 14:34
en ce qui me concerne, il faut que les utilisateurs soient formés et qu'ils disposent d'un choix et là est la faute de microsoft à cause de leur monopoles, il ne le propose pas ou ne le porte pas à la connaissance du plus grand nombre. qui à part ceux qui si connaisse un peu penses lors de l'installation de windows à désinstaller msn, messenger et outlook? pour la plupart des personnes qui achétent leur ordinateur sous windows, ces logiciels sont standarts et ils font confiance à microsoft et là est encore une fois la responsabilité de microsoft.
5 De k-life - 03/10/2003, 14:41
en voici encore sur microsoft:
Microsoft attaqué sur la vulnérabilité de Windows aux virus
Par Kevin Krolicki et Reed Stevenson
LOS ANGELES/SEATTLE (Reuters) - Un recours collectif en justice, déposé dans l'Etat de Californie, attaque Microsoft sur la vulnérabilité de son logiciel-phare, Windows, face aux virus informatiques capables de provoquer des pannes d'envergure et en cascade des réseaux informatiques mondiaux.
La plainte, déposée mardi auprès de la cour supérieure de Los Angeles, accuse également Microsoft de délivrer des alertes de sécurité trop compliquées pour l'utilisateur lambda, alertes qui, en définitive, serviraient plus à montrer aux pirates informatiques les failles qu'ils peuvent exploiter.
En outre, la plainte accuse le géant de Redmond de concurrence déloyale et de violation de deux lois californiennes, dont une récemment entrée en application sur la protection des données personnelles stockées dans les bases de données.
6 De Sébastien - 03/10/2003, 15:47
-> Julien
Dans certain cas, le comportement de l'utilisateur n'est pas en cause. Le virus Blaster reposait uniquement sur une faille, pas sur une action de la part d'un utilisateur (contrairement à Swen).
Conclusion : il faut AUSSI avoir une version à jour.
7 De Julien Queinnec - 03/10/2003, 18:35
->Sébastien
C'est là aussi qu'intervient la formation : anti-virus, firewall servent aussi à la sécurité. Ne pas utiliser IE/OE aussi.
Et effectivement, aussi les maintenir si possible à jour. Mais c'est loin d'être la seule action en terle sécurité à mener.
8 De yz - 03/10/2003, 22:07
moi je trouve que pour le logiciel dont les sources ont leakées ça serait une occasion intéressante de release en GPL et de donner un de ces putains de coup de pied dans l'industrie
évidemment c'est que en rêve tout ça..
9 De mauriz - 03/10/2003, 22:30
yz > C'est complètement une mauvaise idée. Est-ce que la communauté Open Source a besoin d'une aussi mauvaise publicité? Faire une release GPL à partir d'une source leakée (HL2?) revient à baffouer les droits d'auteurs.
10 De yz - 03/10/2003, 23:20
j'ai pas dit que ct a n'importe qui de le faire, mais plutot dans ce cas aux créateurs et à valve..