16/07/01
Microsoft
s'embrouille avec la messagerie
Pour ne pas changer, Microsoft
se retrouve embarqué dans des problèmes
de sécurité avec ses systèmes d'exploitation
Windows. Cette fois-ci, la première faille a
été portée au devant de la scène
par l'expert américain en sécurité
informatique Steve Gibson, qui avait déjà
nourri
la polémique à propos des attaques
de dénis de service distribués orchestrées
par des ordinateurs zombis "aux ordres de pirates
de 13 ans" (citation sur le site de Gibson
Research Corporation). Il s'agit d'un problème
d'authentification dans l'implémentation du protocole
applicatif SMTP, justifié différemment
par les deux parties. Selon un collègue de Gibson
(communiqué),
l'intégration de standards comme Mime pour afficher
des documents HTML évolués pose deux problèmes.
Primo, il devient possible d'ouvrir directement des
"portes de derrière" sur le réseau
de messagerie interne d'une entreprise. Et secundo,
cette intégration autoriserait la subtilisation
en cours de route du message original par une copie
dont la pièce jointe serait infectée.
Pièce jointe subtilisable
en cours de transmission
Une théorie à laquelle ne souscrit pas
totalement Microsoft, appuyé en cela par notre
confrère britannique The
Register qui s'est littéralement régalé
de la polémique ( !! ). Dans son
communiqué, l'éditeur reconnait le
second problème soulevé par le proche
de Gibson, mais pas le premier. De fait, il apparaît
toujours possible par un agent intermédiaire
de subtiliser les e-mails et donc les pièces
jointes, ce que Microsoft qualifie de "mail relaying".
Ce n'est pas la première fois que des experts
sécurité, avec ou sans polémiques,
incitent à ne pas les ouvrir même si elles
proviennent de personnes connues. Il est en effet toujours
possible d'ouvrir une connexion FTP entre deux postes
utilisateurs, avant même d'évoquer la possibilité
de liaisons sécurisées.
Quoi qu'il en soit, le correctif est disponible pour
Windows 2000 en
suivant le lien à la fin du communiqué
avec les instructions de recherche. La vulnérabilité
devrait également être corrigée
dans une prochaine bêta de Windows XP et dans
la version finale. Mais d'ici là, les utilisateurs
de la toute nouvelle version de l'OS se doivent de prendre
leurs responsabilités.
Urgent:
modifier les options de sécurité Internet
Et comme si l'éditeur n'avait pas assez à
faire avec cette première polémique, l'expert
sécurité bulgare Georgi
Guninski
(encore lui ! - lire article d'aujourd'hui sur les failles
dans BSD) est revenu à la charge jeudi dernier.
Son observation publiée dans un communiqué
du 12/07/2001 porte sur l'installation par la version
bêta de Office XP d'un contrôle ActiveX
nommé "Microsoft Outlook View Control".
Une fois sur le disque dur, celui-ci donne la possibilité
à qui maîtrise la faille d'éxécuter
le code malicieux de son choix directement sur une page
web ou dans un e-mail au format HTML. Cette vulnérabilité,
qui selon Guninski touche XP, a été transmise
par ce dernier le 9 juillet. Or, seulement trois
jours se sont écoulés avant son avertissement.
Et Microsoft
s'insurge dans son propre communiqué. Non
seulement l'expert sécurité aurait pu
attendre que son correctif soit disponible, ce qui n'est
pas le cas, mais la faille touche au moins les trois
dernières versions de Outlook : 98, 2000
et 2002. Ensuite, la mise à jour sécurité
de la dernière version permettrait selon l'éditeur
de contourner le problème.
Il devient donc urgent, pour ceux qui ne l'ont pas déjà
fait, de modifier leurs paramètres de sécurité
Internet accessibles par le menu déroulant Outils/Options
d'Outlook et d'Explorer. Deux solutions se présentent
en l'attente d'un correctif : définir le
niveau de sécurité des paramètres
de la zone Internet sur "Haut", ou désactiver
manuellement les contrôles ActiveX en cochant
les cases correspondantes dans le menu "personnaliser".
A vos souris, prêts, partez...
|