Journal du Net > Solutions >  Microsoft s'embrouille avec la messagerie
Article
 
16/07/01

Microsoft s'embrouille avec la messagerie

  Envoyer Imprimer  

Pour ne pas changer, Microsoft se retrouve embarqué dans des problèmes de sécurité avec ses systèmes d'exploitation Windows. Cette fois-ci, la première faille a été portée au devant de la scène par l'expert américain en sécurité informatique Steve Gibson, qui avait déjà nourri la polémique à propos des attaques de dénis de service distribués orchestrées par des ordinateurs zombis "aux ordres de pirates de 13 ans" (citation sur le site de Gibson Research Corporation). Il s'agit d'un problème d'authentification dans l'implémentation du protocole applicatif SMTP, justifié différemment par les deux parties. Selon un collègue de Gibson (communiqué), l'intégration de standards comme Mime pour afficher des documents HTML évolués pose deux problèmes. Primo, il devient possible d'ouvrir directement des "portes de derrière" sur le réseau de messagerie interne d'une entreprise. Et secundo, cette intégration autoriserait la subtilisation en cours de route du message original par une copie dont la pièce jointe serait infectée.

Pièce jointe subtilisable en cours de transmission
Une théorie à laquelle ne souscrit pas totalement Microsoft, appuyé en cela par notre confrère britannique The Register qui s'est littéralement régalé de la polémique ( !! ). Dans son communiqué, l'éditeur reconnait le second problème soulevé par le proche de Gibson, mais pas le premier. De fait, il apparaît toujours possible par un agent intermédiaire de subtiliser les e-mails et donc les pièces jointes, ce que Microsoft qualifie de "mail relaying". Ce n'est pas la première fois que des experts sécurité, avec ou sans polémiques, incitent à ne pas les ouvrir même si elles proviennent de personnes connues. Il est en effet toujours possible d'ouvrir une connexion FTP entre deux postes utilisateurs, avant même d'évoquer la possibilité de liaisons sécurisées.

Quoi qu'il en soit, le correctif est disponible pour Windows 2000 en suivant le lien à la fin du communiqué avec les instructions de recherche. La vulnérabilité devrait également être corrigée dans une prochaine bêta de Windows XP et dans la version finale. Mais d'ici là, les utilisateurs de la toute nouvelle version de l'OS se doivent de prendre leurs responsabilités.

Urgent: modifier les options de sécurité Internet
Et comme si l'éditeur n'avait pas assez à faire avec cette première polémique, l'expert sécurité bulgare Georgi Guninski (encore lui ! - lire article d'aujourd'hui sur les failles dans BSD) est revenu à la charge jeudi dernier. Son observation publiée dans un communiqué du 12/07/2001 porte sur l'installation par la version bêta de Office XP d'un contrôle ActiveX nommé "Microsoft Outlook View Control". Une fois sur le disque dur, celui-ci donne la possibilité à qui maîtrise la faille d'éxécuter le code malicieux de son choix directement sur une page web ou dans un e-mail au format HTML. Cette vulnérabilité, qui selon Guninski touche XP, a été transmise par ce dernier le 9 juillet. Or, seulement trois jours se sont écoulés avant son avertissement. Et Microsoft s'insurge dans son propre communiqué. Non seulement l'expert sécurité aurait pu attendre que son correctif soit disponible, ce qui n'est pas le cas, mais la faille touche au moins les trois dernières versions de Outlook : 98, 2000 et 2002. Ensuite, la mise à jour sécurité de la dernière version permettrait selon l'éditeur de contourner le problème.

Il devient donc urgent, pour ceux qui ne l'ont pas déjà fait, de modifier leurs paramètres de sécurité Internet accessibles par le menu déroulant Outils/Options d'Outlook et d'Explorer. Deux solutions se présentent en l'attente d'un correctif : définir le niveau de sécurité des paramètres de la zone Internet sur "Haut", ou désactiver manuellement les contrôles ActiveX en cochant les cases correspondantes dans le menu "personnaliser". A vos souris, prêts, partez...


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages