J'en ai marre de parler de tout ça. Vraiment. Mais bon, je n'arrive pas à me taire, à me résoudre à baisser les bras, débrancher le neurone, m'avachir devant le télé-achat et m'empiffrant de Pringles, avant de me mettre subreptiscement à désirer plus que tout le dernier CD de la Star-Ac', en attendant l'infarctus ou la surdose d'ennui chronique. Seulement voilà, je ne veux pas finir comme Garoo ;-), d'autant qu'il y quantité de choses à faire avec une boite de Pringles. Bon venons en au fait ! Pour faire plus court, je vais donner dans le style télégraphique.

  1. 16/12/2003 : On découvre un trou majeur de sécurité dans Internet Explorer (possibilité de faire croire à l'utilisateur qu'il est sur un site (par exemple celui de sa banque) alors qu'il est sur un site de pirates) ;
  2. 19/12/2003 : Microsoft décide de ne pas sortir son lot mensuel de correctifs ;
  3. 11/01/2004 : un site espagnol révèle une arnaque à grande échelle en Espagne, d'origine américaine. Un envoi massif d'e-mails demande aux clients de se connecter à leur banque (Banco Popular) en cliquant sur un lien inséré dans le message. Le lien, qui en "apparence" se connecte à bancopopular.es utilise en réalité une vulnérabilité d'IE pour tromper les utilisateurs et les inciter à saisir leurs données confidentielles d'identification dans la page web des escrocs.
  4. Le 12/01/2004, le grand quotidien espagnol El Pais révèle l'information à ses lecteurs ;
  5. 14/01/2004 : Stupeur sur le Net alors que Microsoft sort son nouveau lot de correctifs ; Microsoft UK déclare (nous) suivons la situation de près, mais il n'y a pour l'instant aucune indication d'utilisation à grande échelle de cette vulnérabilité ; Ah, faut-il attendre que des milliers de personnes soient attaquées pour réagir ? ZDNet révèle qu'une arnaque dirigée contre les utilisateur du FAI américain EarthLink a été menée.
  6. 15/01/2004 : En France, Microsoft reste plus prudent et déclare à ZDNet FR : En France, (...) il n'y a eu aucune alerte d'utilisateur à ce sujet.
  7. 16/01/2004 : L'auteur de ce blog se pose des questions sur la relation de confiance qu'on peut avoir avec l'éditeur :
    • Comment peut-on justifier deux sorties mensuelles de patchs sans intégrer ce correctif ?
    • Comment peut-on prétendre aux USA que la vulnérabilité est peu dangereuse alors qu'en France, par la voix de Nicolas Mirail (porte parole de Microsoft), on entend Nous avons été étonnés et avons alerté Microsoft Corp. sur ce point qui nous paraît important ?
    • Comment croire aux promesses de Microsoft qui assure, ma main sur le coeur, que coté sécurité, ils ont changé ? Ironie du sort, hier était le deuxième anniversaire de la déclaration formelle de Bill Gates sur la sécurité. Le 17 janvier 2002, interviewé par News.com, il renchérissait en déclarant : La sécurité, c'est notre première priorité.

Revenons à Microsoft. Je l'ai dit, c'est une bonne boite. Mais si on ne fait rien, il n'y a pas de raison pour qu'ils s'améliorent. Je rève d'un Microsoft plus responsable. Je pense sincèrement qu'ils font quelques progrès dans cette direction. Mais du coup, il faut continuer à appuyer où ça fait mal. Microsoft, c'est comme le poulpe : il faut taper dessus pour l'attendrir.

Mise à Jour : j'ai complètement oublié de remercier mon informateur hispanophone et gourou de la veille technologico-strategique :-). Voilà, c'est chose faite !