Sécurité
Etude édifiante sur l'application des correctifs de sécurité | 31/07/2003

« (…) La vitesse d'application des correctifs de sécurité est en effet extrêmement faible. Il faut ainsi 30 jours pour que les failles les plus dangereuses soient comblées sur 50 % des ordinateurs. Un chiffre qui passe à 60 jours pour les menaces moins sérieuses. Trop tard dans la plupart des cas. En effet, selon Qualys, 60 jours est justement le temps qu'il faut pour que 80 % des outils permettant à des pirates d'attaquer des systèmes mal protégés soient mis en circulation.

Même au-delà de deux mois, la menace ne disparaît pas. Certaines vulnérabilités sont ainsi jugées « immortelles ». Entre les vieux systèmes jamais remis à jour et les nouveaux installés sans que les correctifs soient appliquées, plusieurs failles restent exploitables indéfiniment. (…) »

Mozilla
geckOzone : la communauté Mozilla s'enrichit de nouveaux forums francophones | 31/07/2003

« Benoit écrit [à MozillaZine] : « nous sommes fiers de vous annoncer la création de Geckozone. Lancé par plusieurs membres de l'équipe de localisation Frenchmozilla, ce nouveau site vise les personnes francophones cherchant de l'information, de l'aide et des guides d'initiation sur les produits basés sur Mozilla. Pour le moment, seuls les forums sont disponibles à la communauté Mozilla francophone. On s'attend à ce que les parties restantes du site soient lancées d'ici quelques semaines. Chacun est le bienvenu pour contribuer au succès de cette initiative. » »

Voilà une très bonne initiative de membres belges de la communauté du projet de logiciel libre Mozilla. Ce nouvel espace de discussion francophone (en phpBB) spécifique aux produits basés sur Gecko, le moteur d'affichage original développé par Mozilla.org, est bienvenu. Actuellement les espaces de discussion sur Mozilla sont anglophones, comme les groupes de discussion USENET Netscape et Mozilla ou les forums Web de MozillaZine, ou spécialisés comme le canal IRC de FrenchMozilla et sa liste de diffusion ou trop généraliste comme le groupe de discussion fr.comp.infosystemes.www.navigateurs.

Statistiques
Stabilité dans l'utilisation des navigateurs et légère progression des navigateurs conformes aux standards du Web | 31/07/2003

One-Stat, la société d'analyse du trafic des sites Web a publié de nouveau ses statistiques sur l'usage des navigateurs Web dans le monde. La part globale de Mircosoft Internet Explorer, toutes versions confondues, est stable (95,4 % aujourd'hui pour 94,3 en février 2003). Les alternatives à IE sont loin derrière l'utilitaire intégré au système d'exploitation quasi-monopolistique Windows. Certains produits ne sont visibles qu'à l'état de traces dans les mesures d'audience (0,6 % pour Opera ou Safari : 0,14 % contre 0,11 % en février 2003). Les chiffres de navigateurs absolument obsolètes Netscape et IE 4 restent stables sous les 1 % d'utilisateurs (quand même supérieurs au produits ultra-minoritaires de dernière génération).

La dernière version du navigateur MS, IE 6 (sorti en 2001), est toujours majoritaire. Pourtant, la progression de la version « conseillée » par Microsoft pour tous les Windows (sauf Win95 avec lequel il n'est pas compatible) et ce malgré l'arrêt de la distribution d'IE 5.5 (sauf pour Me) n'est pas fantastique. Depuis février 2003, la part de marché d'IE 6 est passé de 60,26 % sur 66,6 % l'ensemble de la concurrence, soit, environ, de 65 % à 70 % de l'utilisation d'IE sur cette période.

L'histoire du Web retiendra que lors de son exécution par AOL, feu Netscape occupait encore 2,5 % (plus qu'Opera, Mozilla et Safari réunis) alors que la société pionnière avait raflé jusqu'à 85 % du marché avant l'engagement de Microsoft sur ce marché et qu'elle avait encore la moitié de ce marché lors du rachat par AOL en 1999.

Malgré le peu d'informations fournies sur la méthode, le fait que certains utilisateurs de produits alternatifs masquent leur UAS ou adopte celle d'un produit Microsoft pour échapper à certaines malformations des sites Web et l'incomplétude des résultats publiés, ont peu apprécier la légère progression de l'emploi de Mozilla (1,6 % contre 1,2 %, cinq mois plus tôt) et estimer l'utilisation d'un navigateur capable d'un rendu conforme aux standards du Web à 72 % des navigateurs utilisés dans le monde.

Les navigateurs les plus populaires sont :

1. Microsoft IE 6.0 : 66,3 %
2. Microsoft IE 5.5 : 14,5 %
3. Microsoft IE 5.0 : 12,7 %
4. Mozilla : 1,6 %
5. Microsoft IE 4.0 : 0,8 %
6. Netscape Navigator 4 : 0,6 %
7. Opera 6.0 : 0,6 %

Les compagnies avec plus grandes toutes les parts globales d'utilisation sur le Web sont :

1. Microsoft IE : 95,4 %
2. Netscape Navigator : 2,5 %
3. Mozilla : 1,6 %

Presse / Mozilla
Errata : Presse et weblogs | 26/07/2003

Un article de Transfert, « une agence de presse associative, sans publicité » qui « édite un site et un fil d'info quotidiens sur l'avancée des technologies dans la société », sur la fin de Netscape et le futur de Mozilla, sous la plume d'Alexandre Piquard, est resté une semaine en ligne bourré d'erreurs et d'approximations. L'article « AOL saborde Netscape et libère Mozilla » paru le 17 juillet et critiqué le 23 juillet dans le Glazblog de Daniel Glazman, un développeur Netscape et Mozilla, victime de la vague de licenciements en question et cité dans son weblog par Tristan Nitot, autre licencié de la branche française de Netscape, a été rectifié par Transfert en date du 23 juillet sans explication. Un membre de la rédaction est apparemment lecteur de ces weblogs ou un des lecteurs leurs ayant envoyé un email de réclamation.

Les critiques du Glazblog portaient sur « La relation entre Netscape et AOL aura duré huit années. Depuis 1995, le fournisseur d'accès américain commercialisait et utilisait le navigateur Netscape, avant de débourser 4,2 milliards de dollars en 1998 pour le racheter. » qui est devenu « la relation entre Netscape et AOL aura duré moins de 5 ans. Après avoir tenté en vain, en 1995, de s'allier avec celui qui était alors le leader des navigateurs internet, afin de contrer Microsoft, le fournisseur d'accès américain avait déboursé 4,2 milliards de dollars fin 1998 pour le racheter. »

Le « C'était justement pour contrer Microsoft qu'AOL avait lancé le projet Mozilla en février 1998 » qui faisait bondir Dianel Glazman a été corrigé. Mais sûrement pour ne pas avoir l'air de se rendre à ces critiques, les passages : « la Fondation Mozilla tournera avec un budget de 2 millions de dollars par an » (ce n'est pas la même chose qu'AOL fournira $2 000 000 sur les deux prochaines années) et « la fondation Mozilla axera son effort sur le démantèlement du mastodonte Mozilla. Des critiques lui reprochent son code trop fouilli. » Pourtant, l'affirmation finale de l'article « Marc Andreessen, fondateur de Netscape et cocréateur de feu Mosaïc (racheté par Microsoft) » a disparu dans la correction au profit de « Marc Andreessen, cocréateur de feu Mosaïc, le premier navigateur internet, et fondateur de Netscape », Microsoft n'ayant jamais racheté Mosaic mais en a seulement acquis une licence comme il était précisé dans les commentaires de l'article du StandBlog.

Les inexactitudes étaient assez criantes pour que l'article soit rectifié pendant la fermeture d'un mois (19 juillet au 18 août) « pour améliorer le site, tant d'un point de vue éditorial que technique. Le site restera bien sûr accessible, mais ne sera pas mis à jour, sauf événement exceptionnel.» Espérons qu'ils mettront à profit ces vacances pour changer l'ignoble couleur orange qui ruine leur site. Même avec un graphisme amélioré, la rigueur éditorial devra être sérieusement être revue, en commançant par reconnaître et asssumer ses erreurs en publiant des errata…

Sécurité de Windows
Les mots de passe Windows trop facile à casser | 26/07/2003

Face à la présentation par une équipe de Lausanne de sa méthode de craque quasi-instantanée des mots de passe Windows la réaction de Microsoft est d'en minimiser la portée en précisant que « l'attaque nécessite d'être administrateur » et qu'«  Il s'agit là d'attaque contre le stockage de mot de passe dit LMHash [système ancien de codage des mots de passe, Ndlr]. Celui-ci permet une compatibilité avec des machines anciennes (Win9x). Dans Windows, le stockage est toujours effectué en double: l'un sous forme de LMHash, l'autre sous forme de NTHash ». Or ce dernier procédé de codage est bien plus récent, mais n'offre pas de compatibilité avec les anciennes machines. « La recommandation de Microsoft, pour les organisations qui le peuvent, est de désactiver le stockage des LMHash (NoLMHash) (…). Ceci est indiqué dans nos guides de sécurisation et nos guides de durcissement de configuration », conclut le responsable de Microsoft.

Les chercheurs suisses du Laboratoire de Cryptographie de l´Ecole Polytechnique Fédérale de Lausanne utilisent l'augmentation des capacités en mémoire vive actuelles et la vulnérabilité de la conception de l'encodage prévisible de Windows. Philippe Oechslin, membre du laboratoire de sécurité et de cryptographie de l'EPFL précise que « cet encodage est ainsi exactement le même d'un poste à un autre, car Windows [contrairement à Unix, Linux et Mac OS X] n'utilise aucune donnée aléatoire pour chiffrer ces mots de passe. Nous avons donc calculé tous les mots de passe chiffrés possibles et en avons gardé les plus importants, soit environ un sur 4000. » Ainsi, 10 secondes ont été nécessaire pour venir à bout d'une série alphanumérique de 14 caractères et l'ajout de caractères spéciaux complique un peu la tâche mais seulement 30 secondes sont nécessaires pour craquer un mot de passe de 78 caractères (composé de lettres, de chiffres, et de 16 autres caractères). Et l'augmentation des capacités des PC domestiques ne va pas arranger cette vulnérabilité présente dans la plupart des systèmes actuellement en usage.

Patch de sécurité pour Windows
Failles critique dans DirectX de Windows | 24/07/2003

Une vulnérabilité du type buffer overrun (dépassement de mémoire tampon) a été identifié dans le composant DirectShow de DirectX qui est utilisé par Windows pour exploiter les fichiers multimédia. La vulnérabilité se trouve dans le composant responsable de l'analyse des fichiers audios au format MIDI (.MID). Les autres formats de fichiers médias traités par DirectX, comme Advanced Systems Format (ASF), Motion Picture Experts Group (MPEG), Audio-Video Interleaved (AVI), MPEG Audio Layer-3 (MP3), WMV et WAV, ne sont pas affectés par cette vulnérabilité. Pour exploiter cette faille de sécurité un agresseur devrait créer un fichier MIDI spécifiquement corrompu et les faire exécuter par le système en l'hébergeant sur un site Web ou un réseau partagé et en amenant l'internaute à cliquer sur un lien, ou l'amenant à visiter une page contenant le fichier MIDI, ou encore en créant un email HTML avec un lien vers une page Web ou un réseau partagé contenant le fichier ou le fichier MIDI corrompu pourrait être envoyé par email. L'attaquant pourrait alors exécuter le code de son choix sur le système de la victime dans le contexte des privilèges de l'utilisateur en cours.

Sont concernés par cette faille et doivent installer le patch de sécurité proposé par Microsoft, les utilisateurs de :

• DirectX 5.2 on Windows 98
• DirectX 6.1 on Windows 98 SE
• DirectX 7.0a sur Windows Millennium Edition
• DirectX 7.0 sur Windows 2000
• DirectX 8.1 sur Windows XP
• DirectX 8.1 sur Server 2003
• DirectX 9.0a sur Windows Millennium Edition
• DirectX 9.0a sur Windows 2000
• DirectX 9.0a sur Windows XP
• DirectX 9.0a sur Windows Server 2003
• Windows NT 4.0 avec soit Windows Media Player 6.4 soit Internet Explorer 6 Service Pack 1 installé
• Windows NT 4.0, Terminal Server Edition avec soit Windows Media Player 6.4 soit Internet Explorer 6 Service Pack 1 installé.

Vous pouvez obtenir votre version de DirectX en exécutant l'outil de diagnostic « dxdiag.exe », habituellement localisé dans le dossier Windows\System ou System32 ou dans le menu Démarrer, après avoir cliqué sur Exécuter…, saisissez dxdiag dans la boîte de dialogue ouverte et cliquez sur OK.

Microsoft a mis en circulation DirectX 9b : TousLesDrivers.com, Microsoft DirectX 9.0b, 24 juil. 2003

Sécurité
Vulnérabilité dans l'ActiveX de l'anti-virus Housecall de Trend Micro | 15/07/2003

« Selon Secuser.com, il a été découvert une vulnérabilité dans Housecall, l'antivirus en ligne qui permet aux internautes d'analyser et de désinfecter gratuitement leur disque dur. La vulnérabilité concerne le composant ActiveX et peut permettre à une personne malveillante de compromettre la sécurité de l'ordinateur au moyen d'une page web piégée. Les internautes ayant utilisé l'antivirus en ligne Housecall et ne l'ayant pas mis à jour depuis le 07 juillet 2003 sont invités à en télécharger la dernière version en se rendant sur le site de l'éditeur. »

Ce problème d'ActiveX est à rapproché à celui arrivé en juin à l'outils d'analyse et de désinfection en ligne de Symantec, autre société éditrice d'anti-virus, utilisant la même technologie.

Vocabulaire
Mail se dit « courriel » en français (en principe) | 10/07/2003

« La commission générale de terminologie et de néologie a adopté mardi le terme « courriel » pour désigner le courrier électronique, se rangeant ainsi derrière l'usage établi par les internautes francophones, et notamment les Québécois. « Evocateur, avec une sonorité bien française, le mot courriel est largement utilisé dans la presse et concurrence avantageusement l'emprunt à l'anglais mail », a expliqué dans un communiqué la commission. « La commission générale se range donc à la proposition québécoise désormais consacrée par l'usage, tout en maintenant la forme courrier électronique comme synonyme », a-t-elle précisé. »

Messagerie instantanée
Yahoo! Messenger 5.6 sort en français en même temps que la version anglaise | 08/07/2003

D'habitude la version francophone est disponible longtemps après la sortie de la même version US. Peut-être Yahoo! est-il stimulé par la sortie récente de MSN Messenger 6.0 en version beta qui rattrape son retard et propose un produit similaire par la personnalisation interactive de l'apparence des fenêtres de message et la vidéo-conférence par Webcam. La principale nouveauté de cette version semble être la communication avec les téléphones portables mais ce service n'est malheureusement pas disponible pour la France.

Comme ses concurrents Yahoo! propose une version (avec fonctions réduites) en Java de son messager permettant de discuter depuis n'importe quel navigateur sans avoir besoin d'installer le Messenger. Très pratique quand l'on dispose seulement d'un ordinateur qui n'est pas le sien. Et comme ses concurrents, Yahoo! participe à l'actuelle conquête du marché des entreprises avec une version sécurisée de son offre de services.

Sécurité
Faille Neetming héritage de la sédimentation de Windows | 04/07/2003

Découverte signée Core Security, une faille liée aux mécanismes d'échange de fichiers sous Netmeeting permet d'interpréter un « chemin » illégal, lequel autoriserait à son tour d'installer ledit fichier n'importe ou sur le disque de la victime (une « transversale »). A chacun d'imaginer le moyen le plus efficace pour jouer avec cette bombe : DLL forgée et prenant le nom d'une bibliothèque dynamique souvent appelée, couple d'exécutable et de batch genre autoexec sur le répertoire racine, fichier interprétable dans le dossier « démarrage » d'un Windows 9x…

L'ordre illégal en question serait un simple « ..\..\ », digne héritage des commandes Unix qui ont en partie inspiré le DOS puis le CMD. Le problème en question serait résolu avec l'application du SP1 de XP et du SP4 de 2000, disponible depuis peu.

Core Security explique en détail la manière d'exploiter la faille en question à l'aide d'un debugger.

Patch de sécurité
Le Service pack 4 pour Windows 2000 est disponible en français | 04/07/2003

Microsoft publie la version française du Service Pack 4 pour Windows 2000 une semaine après la version anglaise. il contient des corrections de plus de 600 bogues et failles de sécurité, dont le support de l'USB 2.0, et le protocole d'identification pour l'IEEE 802.1x qui améliore la sécurité des connexions WiFi. Deux versions sont proposées au téléchargement :

• Une version complète (129 Mo) installable quelque soit les packs déjà installés sur Windows 2000.
• Une version expresse (588 Ko) permettant de ne télécharger que les composants nécessaires.

Faille de sécurité
Zone Labs ne corrigera pas une faille découverte dans ZoneAlarm Free | 03/07/2003 MàJ 04/07/2003

Une faille découverte dans ZoneAlarm Free ne sera pas corrigée par Zone Labs mais le passage à la version Pro payante immunise contre ce trou dans la sécurité assurée par le firewall. En attendant un éventuel patch de la version freeware, il est conseillé de faire attention de ne pas laissé entrer de troyen dans son système (par pièce jointe par exemple) et d'être vigilent sur les liens cliqués !

Il est quand même conseillé d'installer la dernière version du logiciel dès sa sortie. La version 3.7.193 (3,7 Mo) est disponible depuis le 28 juin.

« Un représentant de la firme a en effet annoncé que ZoneLabs offrira un correctif ou une nouvelle version de son produit d'ici deux semaines. (…) Les développeurs de ZoneAlarm auraient en réalité trouvé un moyen simple de régler ce problème de sécurité, sans revoir l'intégralité du moteur du logiciel. »

Faille sécurité
Faille dans Adobe Acrobat Reader versions 5.0.7 et inférieures | 03/07/2003

Une faille dans a été découverte dans les versions 5.0.7 et inférieures d'Adobe Acrobat Reader par sec-labs team. « Acrobat Reader souffre d'une vulnérabilité de type buffer overflow, qui pourrait être exploitée par un attaquant distant afin d'exécuter un code arbitraire en incitant l'utilisateur à cliquer sur un lien malicieux. Cette faille se situe dans la fonction WWWLaunchNetscape qui utilise un buffer de 256 bytes pour stocker un lien. » La solution préconisée est d'installer Adobe Reader 6.0.

Mozilla / Opinion
Marc Anderseen co-fondateur de Netscape crucifie son ancien poulain | 03/07/2003

Marc Andreessen, co-createur du premier navigateur graphique Mosaic et co-fondateur de la société Netscape (qu'il a quitté depuis) considère « le logiciel de navigation n'a pas bénéficié d'innovations au cours des cinq dernières années, et n'en verra pas davantage au cours des cinq prochaines. Naviguer est embarrassant. Utiliser des bookmarks et des boutons Retour et Suivant -- nous avions dix-huit choses différentes à l'esprit pour le navigateur ». il a ajouté que, pour lui, il est évident que la cession de Netscape est “une certitude.” Rappelons qu'AOL-Time Warner qui est actuellement propriétaire de Netscape s'est arrangé avec MS pour pouvoir utiliser gratuitement IE pour les sept prochaines dans le logiciel de navigation de sa branche de fourniture d'accès Internet. Ceci n'est qu'une partie d'un accord amiable plus générale prévoyant une coopération des deux groupes dans le domaine de la diffusion de contenus par Internet ainsi que le versement de US$750 millions par MS. En contrepartie, le groupe AOL-Time Warner renonce à agir en justice pour voir réparer les pertes subies du fait des agissements anticoncurrentiels de MS durant la guerre des browsers.

Sécurité
Encore une faille corrigée par Microsoft dans le service d'identification Passport | 02/07/2003

Une nouvelle faille du service centralisé d'identification, Passport de Microsoft, qui vient d'être corrigée, permettait à un pirate qui connaissait l'adresse email du compte ainsi que le pays de résidence et le code postal de l'utilisateur de changer le mot de passe, donc de s'emparer d'un compte ouvert avant août 1999, quand le système de question secrète défaillant a été instauré. Des comptes Passport précédemment créé contenait des « mauvaises données » dans le champ de la question secrète a reconnu Microsoft qui avait temporairement suspendu la fonction de mise à jour du mot de passe ce lundi, pour tous les utilisateurs de Passport.

« Rappelons qu'en août 2002, le géant du logiciel avait promis à la Federal Trade Commission (FTC) d'améliorer la sécurité de son service Passport, et de ne plus faire de déclarations erronées sur la protection et le respect des données personnelles. La FTC pourrait lui infliger une amende de 11 000 dollars par violation de compte; ce qui potentiellement représente des milliards de dollars si l'on prend en considération les millions d'utilisateurs de Passport. »