pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Comptage des failles: Et de trois !

Jeudi 09 juillet 2009

Vous vous souvenez de ma petite diatribe concernant le comptage des failles entre Firefox et Internet Explorer ?

Microsoft vient de reconnaître publiquement une faille critique dans Internet Explorer. Microsoft était au courant depuis décembre 2007. Et il vous suffit d'afficher une page web pour être infecté. (On recense déjà plusieurs millions de pages propageant cette infection). Certes ça ne concerne que IE 6 et 7 (et que Windows XP et 2003), mais quand même.

Et vous savez pourquoi Microsoft a mis autant de temps à corriger ? Parce que cette faille concerne le contrôle ActiveX DirectShow, un composant logiciel qui est également utilisé par les jeux, les lecteurs multimedia et les logiciels.

Pour le dire autrement: Microsoft a eu du mal à corriger son navigateur parce que cela risquait de casser des choses dans le reste du système.

C'est chouette ActiveX, hein ? Et qu'est-ce qu'on est content que Microsoft ait dépensé autant d'efforts dans les années passées pour intégrer IE au système d'exploitation !


PS: Je peux amender mon ancien article: En 2008, IE n'était pas dangereux 80% du temps, mais 100% du temps.

Bon, on peut enfin clore le débat entre la sécurité de Firefox et IE ? (en tous cas pour IE6 et 7)


Ironie: Microsoft refuse d'attribuer officiellement la découverte des failles à ceux qui l'ont signalée si ces derniers ont publié la faille au lieu de prévenir secrètement Microsoft. La raison de Microsoft ? C'est «inacceptable car cela met les clients en danger» (sic Mark Miller, Microsoft Security Response Center). Ah bon ? Et laisser des failles ouvertes pendant plusieurs années, ça ne met pas les utilisateurs en danger ?

Vous avez le droit de prévenir Microsoft d'une faille, mais pas de prévenir les utilisateurs qu'ils sont en danger. Ils ne sauront donc pas qu'ils courent un risque, et ne pourront donc même pas prendre des mesures préventives. Et vous attendrez un temps indéterminé pour la correction. Drôle de conception de la sécurité.

(Soit dit en passant, cela montre qu'on ne peut pas se fier complètement aux rapports dans le genre de Secunia pour juger de la sécurité des logiciels, puisque ces rapports ne prennent en compte que les failles publiées, et qu'on est là bien dans le cas d'une faille non publiée.)

Voir tous les billets