Bonjour,
voici la traduction française du dernier communiqué de presse.
Il concerne la politique de Microsoft en matière de sécurité.
Deux vulnérabilités ont été découvertes dans Windows Vista, Windows
Server 2008 et Windows 7 (qui sort jeudi).
Or la première faille, publiée par un indépendant en Juillet, n'a été
résolu que très tardivement par Microsoft (dans un premier temps pour 7
et dans un deuxième temps pou les autres windows). La seconde
vulnérabilité, décrite dans un avertissement de la très sérieuse agence
fédérale allemande BSI - datant du 6 ocotobre, n'a toujours pas suscité
le moindre correctif de la part de Microsoft, ni aucune indication
visant à combler la faille de sécurité.
Cela nous conduit donc à pointer du doigt cette politique peu
respectueuse des clients et des utilisateurs, qui contraste avec celle
du Logiciel Libre.
J'ai également relayé l'information sur https://linuxfr.org/~hugoroy/28917.html
Cordialement,
Hugo
= Windows 7 va nuire à ses consommateurs avec un problème de sécurité
connu =
[Permanent URL: http://www.fsfe.org/news/2009/news-20091019-01.fr.html]
19 Octobre 2009, 13:30 CEST, Berlin, Allemagne
Le dernier système d'exploitation de Microsoft, Windows 7, est
actuellement livré avec un défaut potentiellement grave. Avant la
sortie mondiale du produit jeudi, l'agence fédérale de sécurité en
TIC allemande (BSI) a émis un avertissement [1] à propos d'un
risque élevé de vulnérabilité dans le protocole SMB2. Cette
vulbérabilité peut être exploitée à travers le réseau pour
éteindre un mettre à l'arrêt un ordinateur avec une attaque de
déni de service (Denial of Service, DoS).
Cet incident illustre comment le logiciel propriétaire représente
souvent un risque de sécurité. « Seul Microsoft peut régler le
problème. Mais apparemment, ils ont fermé les yeux sur cette
vulnérabilité depuis un long moment, espérant que cela ne gâcherait
pas le lancement des ventes de Windows 7 dès jeudi » estime Karsten
Gerloff, Président de la Free Software Foundation Europe (FSFE).
Suivant des pratiques de divulgation responsables, la BSI n'a pas
publié de détails dans son annonce (traduite en français ci-après)
le 6 octobre. Alors que c'est généralement une bonne stratégie de
donner au vendeur le temps de réparer les vulnérabilités avant de
les annoncer publiquement, il semblerait dans ce cas que la BSI
devrait considérer de publier tous les détails afin de mettre plus
de pression sur Microsoft. L'agence dit que la faille de sécurité
affecte Windows 7 et Windows Vista tant dans leurs version 32-bits
que dans leurs versions 64-bits, ainsi que Windows Server 2008.
Cette vulnérabilité est encore différente d'une autre moins récente
concernant SMB2 [2] pour laquelle Microsoft a publié le patch
MS09-050 en septembre.
Le Président de la FSFE, Karsten Gerloff, explique : « Les logiciels
de Microsoft enferme ses utilisateurs afin qu'ils soient bloquésmême
si la compagnie les expose à un risque de sécurité comme celui-ci en
toute connaissance de cause. Avec du Logiciel Libre comme GNU/Linux
- que vous pouvez étudier, partager et améliorer - de nombreuses
entités indépendantes peuvent régler le problème. Les consommateurs
ne devraient pas avoir à encourager le comportement négligent de
Microsoft en achetant ses produits. Le Logiciel Libre offre une
alternative, et est disponible auprès de nombreux fournisseurs
indépendants. »
Microsoft n'a pas encore répondu à l'avertissement de la BSI. Il
n'y a aucun signe que la compagnie réussira à réparer la faille de
sécurité dans son système d'exploitation phare avant le lancement
mondial de Windows 7 ce jeudi. La vulnérabilité reste entière même
après les patchs apportés par Microsoft en octobre.
Les pratiques de la compagne en matière de sécurité ont longtemps
été la cause d'inquiétudes. Dans un incident récent [3], Microsoft
avait connaissance d'une autre vulnérabilité dans SMB2 depuis
juillet 2009. Alors que le problème était bien corrigé pour la
version finale de Windows 7 plus tôt en août, rien n'a été fait
pour réparer le même problème connu dans Windows Vista et Windows
Server 2008 tant qu'un chercheur indépendant en sécurité ne révèle
publiquement cette faille. Heise, site allemand dédié aux TIC,
avance que le problème a terminé chez Microsoft dans une liste
interne de bugs peu prioritaires que la compagnie tente de réparer
silencieusement, afin d'éviter toute publicité négative.
[1] https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201
[2] http://www.microsoft.com/technet/security/advisory/975497.mspx
[3]
http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-…
== Traduction du conseil de sécurité de la BSI : ==
Niveau de menace : "4 risque élevé" (sur une échelle de 1 à 5, 5
étant "très élevé").
Titre: Protocole Microsoft Windows SMB2: Une autre vulnérabilité
permet un déni de service (vulnérabilité de Windows Vista et
Windows 7).
Date: 2009-10-06
Logiciel : Microsoft Windows 7, Microsoft Windows 7 x64 Edition,
Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64
Edition / SP1 / SP2, Microsoft Windows Server 2008
Plateforme : Windows
Effet : Déni de service
Exploitable à distance: Oui
Risque : élevé
Référence : recherche interne
Description :
Server Message Block (SMB) est un protocle qui permet l'accès
partagé aux imprimantes et aux fichiers. SMB2 est la nouvelle
version de ce protocole, qui a été introduite avec Windows Vista et
Windows Server 2008, et qui est aussi livré avec Windows 7. Les
implémentations actuelles de SMB2 sont affectées par cette
vulnérabilité. Il s'agit d'une nouvelle vulnérabilité, non de celle
décrite dans Microsoft Security Advisory 975497. Les systèmes
d'exploitations mentionés peuvent donc être attaqué même après
l'installation des mises à jour du Microsoft's October patchday
(MS09-050).
Pour l'instant, il n'y a pas de mise à jour ni de patch mis à
disposition par l'éditeur. Les seules actions recommandées sont de
prendre connaissance et de suivre ces vulnérabilités. Pour
contourner cette vulnérabilité, il ne peut qu'être recommandé de
limiter l'accès via SMB2 à des serveurs connus avec des pare-feux,
ou de désactiver le service SMB2.
== À propos de la Free Software Foundation Europe ==
La Free Software Foundation Europe (FSFE - Fondation Européenne
pour le Logiciel Libre) est une organisation non gouvernementale
à but non lucratif, active dans de nombreux pays européens et
impliquée dans de nombreuses activités internationales. L'accès
au logiciel est déterminant dans la participation à la société
numérique. Afin d'assurer un accès égalitaire à l'ère de
l'information ainsi que la libre concurrence, la FSFE se dévoue
au développement des Logiciels Libres, qui se caractérisent par
les droits d'exécution, d'étude, de modification et de copie.
Sensibiliser le public à ces problèmes, sécuriser l'environnement
politique et juridique du Logiciel Libre, et rendre la liberté
aux personnes en soutenant le développement de Logiciels Libres
sont les activités centrales de la FSFE depuis sa création en
2001.
http://fsfe.org
== Contact ==
Karsten Gerloff
Président
Free Software Foundation Europe
e-mail: press at fsfeurope.org
mobile: +49-176-96904298
--
Hugo Roy
[] roy(a)fsfeurope.org
[][][] President-Assistant (Berlin)
|| http://blogs.fsfe.org/hugo
T: +49-30-57709157
M: +49-176-35308766
Free Software Foundation Europe works to create general understanding
and support for software freedom in politics, law and society-at-large.
For more information, see http://fsfe.org
Bonjour à tous,
Je suis en train de créer une liste de sites d'informations venant de la
communauté française du libre qui pourrait être intéressante non
seulement pour avoir des informations, mais aussi pour en relayer.
Je vous propose déjà ce que j'ai commencé. Si vous avez des suggestions,
n'hésitez pas. Il serait intéressant de combiner nos différentes sources
pour avoir quelque chose d'exhaustif.
Le but de cette liste est aussi de fournir à la FSFE des contacts de
presse pour relayer des informations (jugé plus utile que la simple
mailing-list française pour les communiqués de presse). Donc si vous
avez des contacts plus ou moins directs. N'hésitez pas !
Cordialement,
Hugo
La dite liste,
= French Community News =
* Framablog http://www.framablog.org/index.php
It is Alexis Kauffman (&others) weblog. aKa is the founder of Framasoft,
a web directory of Free Software from the education world. His weblog
often have translations of interesting articles in English.
* LinuxFr https://www.linuxfr.org
It is the main website dedicated to technical stuff related to GNU/Linux
and Free Software in general. The website is User-generated-content, you
have "Dépêches" which are important news displayed on the homepage and
"Journaux" which are entries that were not considered as important.
Everything is posted by users. Often quite long comments succeed every
entry (beware of trolls!)
= Weblogs =
* Tristan Nitot, Mozilla Europe http://standblog.org/blog/
* Philippe Scoffoni http://philippe.scoffoni.net/
* April Planet http://planet.april.org
= FS Press =
* Toolinux, from Linagora (French company, services)
http://www.toolinux.com/
= General Press =
* April Press Reviews http://www.april.org/revue-de-presse
* Two websites related to Tech news
- http://www.pcinpact.com/
- http://www.01net.com/
* Écrans.fr is the web site for Libérations (French Left Newspaper)
articles http://ecrans.fr/
--
Hugo Roy
roy(a)fsfeurope.org
FSFE Berlin Team
http://blogs.fsfe.org/hugo
T: +49-30-57709157
Free Software Foundation Europe [] http://fsfe.org
Join the Fellowship of FSFE! [][][] http://fsfe.org/join
Your donation powers our work! || http://fsfe.org/donate