Mozinet - Actualité de la communication par Internet archives - Mars 2003 - Navigateurs Web et communication par Internet

Macromedia Central, le Flash hors connexion - Faille importante découverte dans Windows NT4, 2000 et XP - Mozilla Minotaur, nouveau client mail - Vulnérabilité critique à corriger dans Windows : Windows Scripting Engine - GetRight 5.0 sans spyware mais payant - ZoneAlarm 3.7 corrige une faille de sécurité - Détournement de CNIL - Record de vitesse - Nouvelle faille critique dans le lecteur Flash de Macromedia

Plug-in / Communication
Macromedia Central, le Flash hors connexion | 28/03/2003

La société californienne Macromedia annonce le lancement de Macromedia Central, une technologie permettant de consulter hors connexion du contenu au format Flash sur des système connectés à Internet par intermittence. Les applications nomades pour les PDA sont typiquement visées. Macromedia compte sur la présence de son lecteur Flash déjà présents sur des millions de systèmes mais nécessitant encore la fenêtre d'un navigateur pour s'exécuter. Les applications Macromedia Central pourront se passer du navigateur.

Les sites Web pourraient fournir des fils d'informations boursières, sportifs ou de météo, par exemple, consultables en permanence mais actualisé lors de connexions intermittentes. Pour les applications individuels Macromedia pourrait aller des comparateurs de prix, en passant par les jeux, au agendas personnels. Macromedia voit aussi à son nouveau produit un grand potentiel dans l'intégration aux intranets d'entreprise. Les employés pourraient notamment télécharger les dernières informations échangées sur le réseau pour les consulter plus tard. Les fabricants de matériels pourrait fournir un support à demeure mise à jour occasionnellement.

Macromedia Central sera disponible le mois prochain pour les développeurs avec Flash MX mais les consommateurs ne pourront pas mettre à jour leur logiciel avant l'été lors de la première utilisation de cette technologie.

Macromedia - Press Releases : Macromedia Unveils Future Direction for Internet Applications -Macromedia Central provides environment to deliver Internet applications in an online and offline world, 27 mars 2003
CNET News.com, Macromedia frees Flash from the browser, David Becker, 26 mars 2003

ZDNet, Macromedia repense le format Flash, 27 mars 2003, Christophe Guillemin

Sécurité
Faille importante découverte dans Windows NT4, 2000 et XP et corrigée pour Win 2000 et XP | 27/03/2003

Une faille de sécurité jugée importante par Microsoft a été détectée dans le protocole de communication RPC qui est utilisé par Windows pour permettre à un programme tournant sur un ordinateur d'exécuter du code sur un autre système distant. Un pirate pourrait faire planter tous les services de type RPC du serveur cible avec une attaque par déni de service. Microsoft conseille de bloquer le port 135 avec un firewall et de ne pas utiliser le protocole RPC dans un environnement hostile comme Internet. Microsoft met à disposition trois patches pour Windows 2000 et XP. Windows NT4 n'aura pas le sien qui serait trop compliqué à mettre en œuvre.

« La méthode a toutefois de quoi surprendre. En début d'année, Microsoft avait ainsi étendu le support de Windows NT 4.0 jusqu'au 31 décembre 2004 pour les failles de sécurité. Une annonce qui ne concerne visiblement que les bugs que Microsoft se sent capable de corriger. »

01net., Microsoft désarmé devant une faille de NT 4, 1^er avril 2003, Ludovic Nachury

Bulletin de sécurité MS03-010, Une erreur dans le Mappeur de point final RPC pourrait permettre une attaque de déni de service dans Microsoft Windows versions NT 4.0, 2000 et XP, 26 mars 2003.

Informations et adresses de téléchargement en anglais : Microsoft Security Bulletin MS03-010 – Flaw in RPC Endpoint Mapper Could Allow Denial of Service Attacks (331953)

Client email / Mozilla
Mozilla lance un projet de logiciel de messagerie autonome | 25/03/2003

Sur le modèle du très réussi navigateur solo Phoenix, l'organisation de développeurs open source Mozilla lance un projet de client de messagerie électronique autonome du navigateur. Le nom actuel en est Minotaur comme le Minotaure, monstre à tête de taureau, tué par Thésée au fond du labyrinthe (Dédale, Minos, le fil d'Ariane… c'était en Crète il y a très longtemps). Avec une interface plus simple et personnalisable que le client intégré à la suite Mozilla, Minotaur permettra d'ouvrir les liens dans son navigateur préféré et non dans le navigateur de Mozilla comme avec son client mail intégré. Peut-être nous reviendra le notificateur de l'ancien Netscape qui permettait d'être averti de l'arrivée de nouveaux messages sans être contraint de laisser ouvert le module de messagerie. Plus d'informations en anglais sur Mozilla.org.

Voir nos fiches Mozilla et Phoenix.

MozillaZine VF, Le projet Minotaur Mozilla officiellement lancé, 24 mars 2003, traduction de l'article original publié par MozillaZine US.

Sécurité
Vulnérabilité critique à corriger dans Windows | 20/03/2003

Une vulnérabilité critique a été découverte dans le Windows Script Engine qui permet au système d'exploitation d'exécuter les langages de script VBScript et JScript. Ce dernier est la version Microsoft du JavaScript qui permet d'ajouter du contenu dynamique aux pages Web. Cette faille pourrait être utilisée en glissant un code piégé dans une page Web ou dans un email au format HTML et permettre de prendre le contrôle de l'ordinateur. Microsoft conseille de désactiver l'Active Scripting pour les sites à risque (dans IE les classer dans les sites sensibles). Pour que le code malveillant ne soit pas exécuter automatiquement dans Outlook 98 ou 2000, « Outlook Email Security Update » doit être installé.

« Ce qui n'empêche pas Lain Mulholand [responsable de la sécurité des programmes Microsoft] de conclure : « La prudence de l'utilisateur dans son choix de sites web ou de liens e-mail constitue la meilleure protection contre ce types d'attaques. » Et la meilleure façon de ne pas se faire écraser, c'est de rester chez soi ? »

Toutes les versions depuis Windows 98 sont concernés et des patches sont disponibles (364 Ko) :

01net., Business en bref : Une faille de plus dans Windows !, 20 mars 2003

Bulletin de sécurité MS03-008, Une erreur dans le moteur de script Windows risque de permettre l'exécution d'un code (814078), 19 mars 2003.

Plus d'information en anglais : Microsoft Security Bulletin MS03-008 : Flaw in Windows Script Engine Could Allow Code Execution (814078), 19 mars 2003, mise à jour 21 mars 2003

Logiciel
GetRight 5.0 sort en shareware et débarrassé du spyware Gator | 12/03/2003

Le nouveau GetRight est arrivé. Ce gestionnaire et accélérateur de téléchargement s'intègre dans Internet Explorer et des plugins permettent de télécharger GetRight à partir d'Opera et de Mozilla/Netscape 7. La version 5.0 de GetRight est débarrassée du module espion Gator mais vous coûtera US$25 pour un produit enregistré et complet qui n'est pas encore traduit en français.

Sécurité
La nouvelle version 3.7 du pare-feu ZoneAlarm corrige une faille de sécurité | 11/03/2003

Les utilisateurs du très populaire, ZoneAlarm de Zone Labs, logiciel de sécurisation des échanges avec le réseau - notamment pour la très bonne efficacité de sa version gratuite - qui ont enclenché la notification automatique des mises à jour, ont été avertis de la disponibilité d'une nouvelle version. Ce qu'ils n'ont sûrement pas saisi, c'est qu'il s'agissait d'une mise à jour de sécurité.

Le site de Zone Labs communique (pas en page d'accueil) : « Avec la version 3.7 de ZoneAlarm, Zone Labs a corrigé une faille importante qui pouvait permettre a une application de simuler la frappe dans des zones de saisies afin de changer des paramètres du firewall. La plupart des pare-feu personnels sont vulnérables à ce genre d'atteintes. (…) La protection par mot de passe rend les produits moins vulnérables à cette attaque. »

Il est instamment recommandé aux utilisateurs de ZoneAlarm, ZoneAlarm Plus et ZoneAlarm Pro de migrer vers les versions 3.7.

Zone Labs Tech Notes, User Input Circumvention Vulnerability Fix, 24 fév. 2003

Ytech.co.il, ZoneAlarm 3.1.395 Security Vulnerability, 25 fév. 2003

Justice
Déclaration des fichiers à la CNIL : une arme détournée | 10/03/2003

Dernièrement, des clients de FAI menacés d'exclusion pour des téléchargements pirates ont eu l'agréable surprise de voir la CNIL voler à leur secours. Cette autorité administrative indépendante est chargée de faire respecter la loi de 1978 qui veut protéger le citoyen contre le fichage sauvage et les traitements automatisés abusifs des données nominatives. Elle reproche aux FAI d'appuyer leurs menaces de sanction sur une collecte déloyale des preuves des échanges de fichiers multimédias (films, chansons, CD, DVD, etc.) protégés par leurs clients. Les représentants des titulaires des droits de propriété intellectuelle sur les œuvres échangées par les réseaux P2P auraient traqué les adresses IP des “pirates”, données indirectement nominatives, sans respecter la loi informatique et libertés. La CNIL rappelle que seul les services publics ont le droit de procéder au traitement des données nominatives concernant les infractions et que les fichiers recueillant ces données doivent être déclarées auprès de la CNIL.

Maintenant, c'est une secte qui obtient la condamnation, le 18 février 2003, par le tribunal correctionnel de Villefranche-sur-Saône, à un euro de dommages-intérêts et 900 € de frais de justice pour non déclaration à la CNIL de sa page perso anti-secte, d'un webmaster de 62 ans. Le militant anti-secte a été reconnu coupable de violation de l'article 226-16 du code pénal pour avoir reproduit des articles de journaux mettant en cause nominativement des membres de la secte alors qu'aucune déclaration préalable n'avait été effectuée. Peut-être le fait que le webmestre se soit, par la suite, senti tenu de déclarer son site auprès de la CNIL a-t-il influencé cette dangereuse et singulière interprétation de la loi.

Le projet de loi pour la confiance en l'économie numérique, votée le 26 février en première lecture par l'Assemblée nationale, aurait pu être une bonne occasion de préciser et clarifiée l'obligation de déclaration préalable des sites Web auprès de la CNIL.

ZDNet, Recto/Verso (3^ème sujet): Scientologie, fichiers et libertés, 7 mars 2003, Jerome Thorel
ZDNet, Le créateur d'un site “antisecte” condamné pour défaut de déclaration à la Cnil, 27 fév. 2003, Christophe Guillemin étoile

Article 226-16 du code pénal

Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de trois ans d'emprisonnement et de 45 000 euros d'amende.

in Section 5. Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques

Recherche & développement
3 500 fois plus vite qu'avec une connexion haut débit courante | 10/03/2002

« (…) Lors d'une expérience récente, une équipe de scientifiques du Stanford Linear Accelerator Center, du California Institute of Technology, de l'institut de recherches néerlandais NIKHES et de l'université d'Amsterdam ont envoyé l'équivalent de quatre heures de films DVD sur plus de 11 000 kilomètres de lignes en fibres optiques en moins d'une minute.

Les données non compressées ont été envoyées à une vitesse de 923 megabits par seconde pendant 58 secondes entre Sunnyvale, en Californie et Amsterdam via Chicago… »

« (…) Certes, le réseau était composé de fibres optiques et ce genre de transmission se facture des centaines de milliers de dollars - on parle de plus de 2 millions de dollars pour l'expérience. Une somme évidemment gigantesque mais cette technologie pourrait présenter un intérêt pour certaines entreprises amenées à développer des services de bibliothèques numériques, d'imagerie médicale, de laboratoires virtuels, d'applications d'apprentissage à distance et autres partages de bases de données volumineuses… »

Cette vitesse de transmission pour l'heure inexploitable par les ordinateurs actuels, pourraient, dans un premier temps, donner naissance à des applications pour le monde scientifique qui viendraient bouleverser l'organisation matérielle du travail collaboratif des chercheurs. A suivre…

Reuters-Yahoo, Record de vitesse de transmission de données sur internet, 8 mars 2003

VNUnet, Un transfert de données à près de 1 Gbit/s sur Internet, 10 mars 2003, Christophe Lagane

Sécurité
Nouvelle faille critique dans le lecteur Flash de Macromedia | 04/03/2003

Le lecteur Flash de Macromedia est un plug-in qui permet aux navigateurs d'afficher des animations vectorielles au format .swf (Shockwave Flash) à l'intérieur des pages Web. Ce format est populaire pour l'affichage de bandeaux publicitaires.

La vulnérabilité critique découverte « peut permettre à une personne malveillante d'exécuter le code de son choix sur l'ordinateur de sa victime lors de l'affichage d'une animation spécialement malformée, contenue dans une page web ou dans un mail HTML ».

Pour toutes les versions inférieures à la 6.0.79.0, il est nécessaire d'installer la dernière version du lecteur Flash : 405 Ko pour IE et 543 Ko pour Netscape, Mozilla et Opera

Archives des dépêches d'actualité

Mars 2003

Plug-in / Communication Macromedia Central, le Flash hors connexion | 28/03/2003

Sécurité Faille importante découverte dans Windows NT4, 2000 et XP et corrigée pour Win 2000 et XP | 27/03/2003

Client email / Mozilla Mozilla lance un projet de logiciel de messagerie autonome | 25/03/2003

Sécurité Vulnérabilité critique à corriger dans Windows | 20/03/2003

Logiciel GetRight 5.0 sort en shareware et débarrassé du spyware Gator | 12/03/2003

Sécurité La nouvelle version 3.7 du pare-feu ZoneAlarm corrige une faille de sécurité | 11/03/2003

Justice Déclaration des fichiers à la CNIL : une arme détournée | 10/03/2003