Debat du jour : la gestion du correctif sur la faille d'internet explorer

Suite à une faille majeur d’IE, le gouvernement américain a conseillé de ne plus utiliser ce navigateur tant que le nécessaire n’aurait pas été fait[/url]. [url=http://pro.clubic.com/it-business/securite-et-donnees/actualite-699880-microsoft-faille-ie-windows-xp.html]Microsoft a assez rapidement réagi et à commencé à déployer un correctif.

Cette affaire me permet d’ouvrir le débat sur plusieurs points :

  • Est ce qu’à votre avis le fait d’avoir une recommandation négative du gouvernement à poussé Microsoft à faire le correctif plus rapidement et à communiquer davantage ? D’ailleurs et de manière général, pensez vous que ce type d’annonce a une réelle incidence sur la vitesse de mise en place du correctif ?

  • La brèche étant liée à Flash, est ce que cela ne serait pas plutôt à Adobe de faire le nécessaire ? Tant sur le correctif que sur la communication ?

  • Que pourrait faire Microsoft pour éviter ce type de faille à l’avenir sur son navigateur, en particulier sur les anciennes versions qui sont encore beaucoup utilisées dans certaines sociétés (pour accéder à certaines pages comme des extranet ou des backoffices ne marchant que sous IE) ?
    Edité le 02/05/2014 à 12:18

Il faut certes trouver une alternative à flash mais cela ne viendra que de la part des navigateurs quand on sait le nid à failles qu’est flash player.

Ensuite coté navigateur si microsoft stoppe les mises à jour d’internet explorer pour windows xp pour forcer à migrer cela provoquerait l’effet inverse avec au final une poussée des navigateurs alternatifs.
Contradictoire quand on voit que microsoft tend à miser sur le tout en ligne.

La faille est dans Internet Explorer, pas dans Flash.

Le gros problème aujourd’hui pour un assaillant qui tente d’exploiter une faille est de sortir de la sandbox dans laquelle s’exécute le navigateur, et notamment de contourner le DEP. La manière la plus efficace à ce jour est d’utiliser les plugins tiers, car ils s’exécutent en dehors de la sandbox. L’idée est donc de charger le code de l’exploit via le plugin (donc en l’occurence, dans une animation flash), puis utiliser la faille pour demander au navigateur d’exécuter ce code. Si Flash n’était pas là, un autre plugin aurait probablement été utilisé (Silverlight par exemple). Le problème est donc lié à la présence de plugins, et non à Flash spécifiquement.
Edité le 02/05/2014 à 11:54

Evidemment!
Pour une boite comme MS, c’est une question d’image, et donc de part de marché, leur gouvernement dit qu’IE est une passoire, ce serait suicidaire de rester les bras croisés pendant que les gens, et surtout leurs propres patriotes, vont voir ailleurs…

Non la brèche est liée à IE, et le moyen le plus facil pour les hacker d’utiliser cette brêche, c’est flash, puisqu’installé sur la plupart des machines et utilisé sur pratiquement tous les sites.
Stop de vouloir tuer le messager…
La faille n’était pas dans Flash, sur ce coup, Flash c’était juste le pied de biche le plus disponible.

La question c’est pas ce qu’ils pourraient faire, mais que voudraient-ils bien faire…
Ils peuvent faire ce qu’ils veulent, c’est leur code.

L’alternative existe et elle s’appelle HTML5.
Et cela ne risque pas de venir des navigateur puisqu’ils sont déjà compatibles HTML5.
C’est aux sites internet, et donc aux webmasters, de changer les choses et substituer par HTML5 ce qui actuellement est géré par Flash.
Edité le 02/05/2014 à 12:12

bien entendu

L’HTML 5 existe c’est sûr mais ! IE6 et HTML5 quand on voit déjà les lignes de code à rajouter pour rendre son site compatible avec IE6 ça fait de la peine.

IE6…
Oui, on peut le voir sous cet angle, on peut aussi se plaindre que les derniers logiciels ne soient pas compatible OS/2 ou MS-DOS…
IE6 pour une utilisation précise (comme l’intranet de mon entreprise et autres conneries du genre spécifiques à l’entreprise seulement compatible IE6) pourquoi pas.
Mais IE6 pour naviguer sur le web “2.0”, non mais sérieux quoi, c’est plus un débat là c’est un joke!
D’ailleurs dans le cas d’une navigation internet (sur ses propres sites notamment), l’entreprise où je bosse conseille FF (encadré qui s’affiche si on y va avec IE6)…

Bref “rendre compatible son site avec IE6” c’est la dernière chose à faire pour un webmaster.
Rendre compatible son site avec les spécification W3C c’est la seule considération à avoir.
Et pour les réfractaires d’IE6, z’ont qu’à retourner sous minitel, c’est adapté à leur époque.
Edité le 02/05/2014 à 13:23

Ca me parait évident.

Lorsque la faille est critique, oui.

Liée à Flash parce que les plugins s’exécutent en dehors de la sandbox, donc tous les plugins sont potentiellement concernés par ce type de failles.

Ceci étant, il est clair que Flash fait aujourd’hui figure de boulet au niveau faille de sécurité au moins autant que la VM Java) et Adobe ne fait (à mon sens) pas grand chose pour redorer le blason de son plugin.

Le top serait de permettre l’exécution des plugins dans la sandbox, ce qui peut être compliqué techniquement, mais ce serait une solution.

Après, le problèmes des anciennes versions reste clairement entier, parce que Microsoft (mais c’est valable pour tous les éditeurs) ne peut pas maintenir éternellement toutes les versions de ses softs.

A la limite une de solutions pour Microsoft peut être le mode de compatibilité de son navigateur pour permettre aux anciennes applications web qui nécessite une ancienne version d’IE de tourner.
Sinon, reste aux entreprises concernées de migrer vers un soft qui s’execute sur un navigateur récent (pas forcément évident, je le sais très bien).

Non, dans le cas présent c’est Flash qui présente la vulnérabilité. :neutre:

Flash n’est pas installé sur mes machines et je n’ai aucun soucis pour naviguer sur la plupart des sites que je visite.

Et pourtant, vu le nombre de fois oi Flash présente des failles, on ferait mieux de virer définitivement ce machin (d’ailleurs qui n’est plus dispo sous Linux, merci Adobe … ) …

Tu vas me dire que tu surfes avec IE 6 ?! :paf:

Ce navigateur est une plaie, il supporte mal les standards est blindés de failles, il faut passer à un navigateur plus récents.

Ca fait des années qu’il nous pourrit la vie quand même … :riva:


[quote="Bombing_Basta"] Bref "rendre compatible son site avec IE6" c'est la dernière chose à faire pour un webmaster. [/quote] C'est clair.

Non. Je pense que MS aurait fait ce correctif malgré tout. Ce qui me semble être en question c’est :

  1. La part toujours trop grande de WinXP dans le parc mondial
  2. le blâme qui serait reporté sur MS par l’opinion publique même si ce blâme serait injuste.

Là, MS vient tout récemment de stopper le support officiel de WinXP. C’est comme si le fermier annonçait à la cantonnade qu’il part se coucher et qu’il va laisser le poulailler sans défense. C’est évident que tous les renards/cybermafias ont préparé leur coup pour se faire plein de pognon à partir du 8 avril dernier.

MS est prisonnier de XP tant que l’écho publique risque de ternir son image, donc tant que XP représente une part significative du parc mondial. Puisque les gens sont cons, MS doit être suffisamment peu réactif pour que certains utilisateurs se fassent détrousser et que ça pousse les autres à remplacer Windows XP. En même temps, MS doit toujours fournir des mises à jour comme celle-ci sur les “gros” problèmes pour ne pas détruire son image publique.

Donc cette fois ci, la déclaration du gouvernement n’a pas eu de poids, mais sur les futures failles, lorsqu’on sera près de la masse critique d’utilisateurs pour que MS les abandonne, une déclaration du gouvernement pourra être déterminante.

Vendre du Windows 7 ou du Windows 8 (ou Windows 9 qui devrait sortir dans 1 an).

Je ne dis pas le contraire que c’est une plaie je surfe aussi avec un navigateur à jour. Mais fais un tour dans de nombreuses entreprises les responsables informatiques ont gardé le même vieil OS et navigateur IE6 car trop compliqué de migrer leurs solutions pro fabriquées avec leur pied.

Dans les hopitaux je vois encore IE6
C’est une plaie pour les sites web mais on ne peut pas les exclure, cela revient à perdre une partie du traffic.

Je suis au courant, merci, mais rien ne les empêche d’avoir IE 6 pour leurs solutions boiteuses (au passage, c’est génial leurs trucs basés sur des technos pas standard, ça casse juste les pieds à tout le monde plus de 10 ans après la sortie du machin …) et une vrai navigateur à jour pour aller sur le net.

En les excluants, ça forcera peut être les entreprises, sinon à migrer leurs softs métiers, au moins à utiliser un navigateur digne de ce nom pour aller sur le net. :paf:

Parce que parti comme ça, il faudrait qu’on reste tous sous XP avec IE 6 … :nexath

Si c’est Flash, pourquoi mon navigateur n’a pas été impacté, flash pas mis à jour (3 fois!!!), et les USA déclaré que c’était IE le problème?
Edité le 02/05/2014 à 21:23

Une brèche “exploitable” ne signifie pas qu’elle l’a forcément été en masse,on ne parle à mon avis que d’une possibilité et non d’un fait avéré qui a touché tous les pc utilisant IE :neutre:

A part ça ce n’est pas la première fois (ni la dernière) qu’une faille critique est découverte et on n’avait jamais fait un tel foin…tout ça ressemble à une de ces crises de paranoïa sécuritaire dont les USA sont friands :paf:

PS : j’ai reçu hier le correctif ^^
Edité le 02/05/2014 à 22:13

L’implémentation du plugin entre les navigateurs est différente, il existe une version IE du plugin Flash et une pour les autres navigateurs, ceci pouvant expliquer cela.

Le fait est là, c’est pas Flash qui a été déconseillé par les USA, mais bien IE.
C’est pas Flash qui a été mis à jour, mais bien IE.
Et la version non mise à jour de Flash fonctionne pareil avec le IE mis à jour.