Bonjour,
voici la traduction française du dernier communiqué de presse. Il concerne la politique de Microsoft en matière de sécurité.
Deux vulnérabilités ont été découvertes dans Windows Vista, Windows Server 2008 et Windows 7 (qui sort jeudi).
Or la première faille, publiée par un indépendant en Juillet, n'a été résolu que très tardivement par Microsoft (dans un premier temps pour 7 et dans un deuxième temps pou les autres windows). La seconde vulnérabilité, décrite dans un avertissement de la très sérieuse agence fédérale allemande BSI - datant du 6 ocotobre, n'a toujours pas suscité le moindre correctif de la part de Microsoft, ni aucune indication visant à combler la faille de sécurité.
Cela nous conduit donc à pointer du doigt cette politique peu respectueuse des clients et des utilisateurs, qui contraste avec celle du Logiciel Libre.
J'ai également relayé l'information sur https://linuxfr.org/~hugoroy/28917.html
Cordialement, Hugo
= Windows 7 va nuire à ses consommateurs avec un problème de sécurité connu =
[Permanent URL: http://www.fsfe.org/news/2009/news-20091019-01.fr.html]
19 Octobre 2009, 13:30 CEST, Berlin, Allemagne
Le dernier système d'exploitation de Microsoft, Windows 7, est actuellement livré avec un défaut potentiellement grave. Avant la sortie mondiale du produit jeudi, l'agence fédérale de sécurité en TIC allemande (BSI) a émis un avertissement [1] à propos d'un risque élevé de vulnérabilité dans le protocole SMB2. Cette vulbérabilité peut être exploitée à travers le réseau pour éteindre un mettre à l'arrêt un ordinateur avec une attaque de déni de service (Denial of Service, DoS).
Cet incident illustre comment le logiciel propriétaire représente souvent un risque de sécurité. « Seul Microsoft peut régler le problème. Mais apparemment, ils ont fermé les yeux sur cette vulnérabilité depuis un long moment, espérant que cela ne gâcherait pas le lancement des ventes de Windows 7 dès jeudi » estime Karsten Gerloff, Président de la Free Software Foundation Europe (FSFE).
Suivant des pratiques de divulgation responsables, la BSI n'a pas publié de détails dans son annonce (traduite en français ci-après) le 6 octobre. Alors que c'est généralement une bonne stratégie de donner au vendeur le temps de réparer les vulnérabilités avant de les annoncer publiquement, il semblerait dans ce cas que la BSI devrait considérer de publier tous les détails afin de mettre plus de pression sur Microsoft. L'agence dit que la faille de sécurité affecte Windows 7 et Windows Vista tant dans leurs version 32-bits que dans leurs versions 64-bits, ainsi que Windows Server 2008. Cette vulnérabilité est encore différente d'une autre moins récente concernant SMB2 [2] pour laquelle Microsoft a publié le patch MS09-050 en septembre.
Le Président de la FSFE, Karsten Gerloff, explique : « Les logiciels de Microsoft enferme ses utilisateurs afin qu'ils soient bloquésmême si la compagnie les expose à un risque de sécurité comme celui-ci en toute connaissance de cause. Avec du Logiciel Libre comme GNU/Linux - que vous pouvez étudier, partager et améliorer - de nombreuses entités indépendantes peuvent régler le problème. Les consommateurs ne devraient pas avoir à encourager le comportement négligent de Microsoft en achetant ses produits. Le Logiciel Libre offre une alternative, et est disponible auprès de nombreux fournisseurs indépendants. »
Microsoft n'a pas encore répondu à l'avertissement de la BSI. Il n'y a aucun signe que la compagnie réussira à réparer la faille de sécurité dans son système d'exploitation phare avant le lancement mondial de Windows 7 ce jeudi. La vulnérabilité reste entière même après les patchs apportés par Microsoft en octobre.
Les pratiques de la compagne en matière de sécurité ont longtemps été la cause d'inquiétudes. Dans un incident récent [3], Microsoft avait connaissance d'une autre vulnérabilité dans SMB2 depuis juillet 2009. Alors que le problème était bien corrigé pour la version finale de Windows 7 plus tôt en août, rien n'a été fait pour réparer le même problème connu dans Windows Vista et Windows Server 2008 tant qu'un chercheur indépendant en sécurité ne révèle publiquement cette faille. Heise, site allemand dédié aux TIC, avance que le problème a terminé chez Microsoft dans une liste interne de bugs peu prioritaires que la compagnie tente de réparer silencieusement, afin d'éviter toute publicité négative.
[1] https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201 [2] http://www.microsoft.com/technet/security/advisory/975497.mspx [3] http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-h...
== Traduction du conseil de sécurité de la BSI : ==
Niveau de menace : "4 risque élevé" (sur une échelle de 1 à 5, 5 étant "très élevé"). Titre: Protocole Microsoft Windows SMB2: Une autre vulnérabilité permet un déni de service (vulnérabilité de Windows Vista et Windows 7). Date: 2009-10-06 Logiciel : Microsoft Windows 7, Microsoft Windows 7 x64 Edition, Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64 Edition / SP1 / SP2, Microsoft Windows Server 2008 Plateforme : Windows Effet : Déni de service Exploitable à distance: Oui Risque : élevé Référence : recherche interne Description :
Server Message Block (SMB) est un protocle qui permet l'accès partagé aux imprimantes et aux fichiers. SMB2 est la nouvelle version de ce protocole, qui a été introduite avec Windows Vista et Windows Server 2008, et qui est aussi livré avec Windows 7. Les implémentations actuelles de SMB2 sont affectées par cette vulnérabilité. Il s'agit d'une nouvelle vulnérabilité, non de celle décrite dans Microsoft Security Advisory 975497. Les systèmes d'exploitations mentionés peuvent donc être attaqué même après l'installation des mises à jour du Microsoft's October patchday (MS09-050).
Pour l'instant, il n'y a pas de mise à jour ni de patch mis à disposition par l'éditeur. Les seules actions recommandées sont de prendre connaissance et de suivre ces vulnérabilités. Pour contourner cette vulnérabilité, il ne peut qu'être recommandé de limiter l'accès via SMB2 à des serveurs connus avec des pare-feux, ou de désactiver le service SMB2.
== À propos de la Free Software Foundation Europe ==
La Free Software Foundation Europe (FSFE - Fondation Européenne pour le Logiciel Libre) est une organisation non gouvernementale à but non lucratif, active dans de nombreux pays européens et impliquée dans de nombreuses activités internationales. L'accès au logiciel est déterminant dans la participation à la société numérique. Afin d'assurer un accès égalitaire à l'ère de l'information ainsi que la libre concurrence, la FSFE se dévoue au développement des Logiciels Libres, qui se caractérisent par les droits d'exécution, d'étude, de modification et de copie. Sensibiliser le public à ces problèmes, sécuriser l'environnement politique et juridique du Logiciel Libre, et rendre la liberté aux personnes en soutenant le développement de Logiciels Libres sont les activités centrales de la FSFE depuis sa création en 2001.
== Contact ==
Karsten Gerloff Président Free Software Foundation Europe e-mail: press at fsfeurope.org mobile: +49-176-96904298
--
Hugo Roy [] roy@fsfeurope.org [][][] President-Assistant (Berlin) || http://blogs.fsfe.org/hugo T: +49-30-57709157 M: +49-176-35308766
Free Software Foundation Europe works to create general understanding and support for software freedom in politics, law and society-at-large. For more information, see http://fsfe.org
Cher Hugo, chers tous, Merci de relayer cette information, que je suis depuis plusieurs jours sur les mailing-lists de la FSFE... Néanmoins, je vais exprimer mon avis et faire quelques nuances. Ce n'est pas la première fois qu'une faille dans windows et/ou des logiciels made in Microsoft est découverte mais n'est pas corrigée avant et n'empêche pas la sortie des-dits logiciels (sinon Microsoft n'aurait pas publié windows 3.0, 3.1, 95, 98, Me, XP et Vista ;-) ).
Pour être vache, je dirais que c'est même comme ça qu'on reconnait la patte de la maison... Mais la question qu'il faut se poser, c'est de savoir si les logiciels libres ne pratiquent pas la même chose. Je pense que si. J'ai en tête un vague exemple concernant Mozilla qui s'est retrouvé dans la même situation avec Firefox, ou bien Canonical avec Ubuntu.. Je n'ai plus les exemples en tête, mais je veux dire par là que, finalement, c'est relativement courant, même pour des logiciels libres (même si, par principe, c'est plus commun pour les logiciels propriétaires) C'est ce que je pense, peut-être que je me trompe et que les logiciels libres, quand ils sortent, sont corrigés de toutes les failles les concernant découvertes avant...
Après, je suis conscient que cette faille est très dangereuse, car son risque élevé connu est démultiplié par toutes les machines qui possèdent windows en leur sein...
Je suis ainsi enclin à penser que le site de la FSF à propos des 7 pêchés de windows est mauvais. Après tout, qui est intéressé par le fait que windows soit mauvais, à part les gens qui sont déjà dans le mouvement libre? Pour convaincre la masse, il ne faut pas pointer du doigts les mauvaises choses de windows, mais montrer que GNU/Linux et les logiciels libres, c'est mieux!
J'attends malgré tout de voir ce que la campagne de la FSFE va donner!
Ben
Cher Benjamin,
Je suis tout à fait d'accord avec toi. Néanmoins, le problème là est que Microsoft a ignoré le problème jusque-là: aucun communiqué, aucun correctif.
J'attends malgré tout de voir ce que la campagne de la FSFE va donner!
Contrairement à la FSF qui a vraiment fait une campagne là-dessus, je pense qu'il s'agit juste d'un communiqué de presse pour relater une faille de sécurité qui n'a pas du tout été relayée par les médias.
Et pour l'instant ça n'a pas donné grand chose de toute façon.
Cordialement,
Hugo Roy a écrit :
Cher Benjamin,
Je suis tout à fait d'accord avec toi. Néanmoins, le problème là est que Microsoft a ignoré le problème jusque-là: aucun communiqué, aucun correctif.
Je soutiendrai toujours une telle action. Ce dont j'ai peur, finalement, c'est du "retour de bâton", le "Vous aussi vous l'avez fait!" que j'ai un peu anticipé.
Bon courage et à bientôt
Ben