Microsoft vient de mettre en ligne un nouveau correctif de sécurité (n° 828750), non pas pour corriger une nouvelle faille mais pour combler les lacunes d’une précédente rustine, la MS03-032. Celle-ci devait notamment empêcher l’exploitation d’une faille d’Internet Explorer (5.01, 5.5 et 6.0) liée à l’instruction « Object Data » et d’autres fonctions DHTML, notamment associées au lecteur Windows Media Player. Ces failles permettent à un attaquant d’exécuter du code sur une machine distante, à partir d’une simple page HTML. Le cheval de Troie Qhosts exploite notamment cette faille pour modifier les paramètres des serveurs de noms de domaines Windows, ce qui lui permet de rediriger les requêtes sur la même machine afin de préparer, éventuellement, une attaque incapacitante. Le patch MS03-032 fut donc le bienvenu. Mais il s’est avéré que le correctif ne remplissait que partiellement sa mission. Microsoft vient donc (enfin) de combler entièrement – on l’espère – la faille avec ce nouveau correctif.
Une autre vision de la sécurité
Il serait bon pour l’éditeur de Windows que ce correctif fonctionne parfaitement car il pourrait, à l’avenir, cumuler les procès à son encontre sur le sujet de la sécurité. L’éditeur de Redmond a notamment confirmé avoir reçu une plainte en justice l’accusant de rendre les ordinateurs sous Windows vulnérables aux virus. Conscient que sa gestion des failles système à coup de correctifs, souvent mal appliqués, n’offre pas la solution idéale aux attaques virales, Microsoft a donc décidé de chercher une autre voie pour protéger les ordinateurs de ses clients. L’éditeur devrait donc prochainement annoncer une nouvelle stratégie sécuritaire dite « Shield technology » (technologie bouclier). Celle-ci viserait à sécuriser l’ordinateur dans son ensemble et non plus les applications propres à Microsoft.
Espérons que cette nouvelle politique ne se limite pas aux effets d’annonce. Il y a plus d’un an, Bill Gates lançait « l’informatique digne de confiance » (Trustworthy Computing) et invitait les employés de Microsoft à privilégier la sécurité dans le développement des produits maison (voir édition du 17 janvier 2002). Force est de constater qu’aujourd’hui, soit l’architecte en chef de Microsoft n’est pas écouté de ses employés, soit il s’agissait d’un discours marketing bien mené pour restaurer la confiance des clients.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…