Consommation
Faites vous rembourser le ¼ du prix de votre PC | 30/08/2003

Un étudiant en informatique qui ne voulait pas des logiciels livrés avec le PC qu'il venait d'acheter s'est vu restitué 261 euros par Hewlett Packard France, soit 25 % du prix d'achat.

Le 1^er mars 2002, Mickael Roger, 19 ans, achète un PC portable Presario 702 de marque Compaq, dans un magasin Auchan de la banlieue parisienne. Il débourse 1044 euros pour une machine livrée avec une offre logicielle composée du système d'exploitation Microsoft Windows XP, du traitement de texte Word du même éditeur, de la suite bureautique Works et de l'antivirus Norton de Symantec. Prétendant vouloir installé Linux sur sa machine, il envoie une demande de remboursement du prix des logiciels au magasin qui le renvoie vers le constructeur, Compaq depuis racheté par Hewlett Packard. Excédé par six mois de manœuvres dilatoires du constructeur informatique, Mickael Roger envoie une lettre recommandée le menaçant « d'envoyer une déclaration au greffe du tribunal de commerce, afin d'obtenir un “débat contradictoire” avec la société Compaq. Cette procédure mène à une convocation entre deux parties, sans avocats, devant un juge qui décide des actions juridiques possibles pour résoudre le litige. »

Trois jours suffiront alors pour qu'une lettre propose à l'acheteur mécontent le remboursement de 25 % du prix du PC qui fut enfin versé fin août. Pour arriver àce résultat ce n'est pas l'article L. 122-1 du code de la consommation, qui interdit la vente liée et oblige les marchands à permettre l'achat séparé des produits composant un lot, sur lequel s'est appuyé Mikael mais simplement sur les clauses de son contrat de licence des logiciels. « Ce dernier stipule clairement que si l'utilisateur est en désaccord avec ses termes - en l'occurrence, Mickael Roger ne désire pas acquérir les logiciels concernés -, il peut « prendre contact dans les plus brefs délais avec le fabricant afin de savoir comment renvoyer le ou les produits et demander leur remboursement ». »

Courriel / Mozilla
Micro Hebdo : Mention Bien pour le client email autonome de Mozilla, Thunderbird | 20/08/2003 MàJ 29/08/2003

Le magazine hebdomadaire grand public Micro Hebdo propose un court article sur Mozilla Thunderbird, édité par The Mozilla Foundation, dans sa rubrique « Ça vient de sortir » sous le titre avantageux « Le courriel facile ». Mozilla Thunderbird 0.1 est sorti le 28 juillet, en même temps que son grand frère, Mozilla Firebird 0.6.1, le navigateur léger de Mozilla. Micro Hebdo reproche à Thunderbird l'absence de version française fiable et d'installeur automatisé. Pourtant FrenchMozilla propose un tel fichier d'installation. Il est aussi reproché à Thunderbird son manque « de possibilités de personnaliser ses messages ».

L'article lui reconnaît « cependant de nombreuses fonctions, comme le filtrage des courriers entrants, l'élimination du spam ou encore la gestion multicompte. » La rédaction « aime la simplicité d'utilisation, les fonctions qu'on peut ajouter et retirer à volonté » et cite les extensions « Tagzilla (pour changer de façon aléatoire sa signature en bas des courriers envoyés) ou Quicknotes (sorte de Post-it). » Mozilla Thunderbird se voit en résumé attribué la mention Bien. Une version en français avec installeur aurait sans doute fait mieux. Et cette version existe alors…

Si Micro Hebdo se contente de citer la fonction anti-spam du client mail de Mozilla, le magazine informatique allemand c't lui a réalisé un comparatif de ce genre de logiciel. Mozilla Mail y est classé premier devant K9, Apple Mail, Mailshield Desktop, SAproxy, SpamBayes, SpamCatcher, SpamNet, SpamPall et SpamSieve.

K9 est un freeware dont la version 1.11 est sortie le 11 août dernier. Il s'agit d'un utilitaire qui agit en amont du client de messagerie (Outlook, Eudora, Mozilla). Comme la fonction similaire du client mail de Mozilla, il nécessite une phase d'entraînement pendant laquelle l'utilisateur lui indique le courriel pourri non détecté et corrige les faux positifs. Ainsi le processus basé sur un algorithme de classification bayésienne propose un tri de plus en plus performant et personnalisé au type de pourriel reçu. Si vous avez déjà un stock de bon mail et de pourriel à faire avaler par le logiciel, son tri sera d'emblée très performant (taux avoisinant 99 % de réussite).

Un petite recherche sur Google sur la classification bayésienne permet de trouver un cours de l'Université de Montréal (Informatique et recherche opérationnelle) de Guillaume Potin du 3 avril 2003 (conversion en HTML) « Classification automatique des messages électroniques » dans lequel on peut lire : « Une meilleure précision pour la méthode Bayésienne qui équivaut en terme de filtrage anti-spam à une classification manuelle. »

Avec la recrudescence actuelle des virus se propageant par email comme la série des Sobig, l'utilité d'un bon logiciel anti-spam ne déclenchant pas les virus n'est plus à démontrer.

Législation / Concurrence
Lettre ouverte de prestigieux économistes contre la directive sur les brevets logiciels | 29/09/2003

Douze spécialistes en économie venant de prestigieuses institutions universitaires ont signé un lettre ouverte réclamant aux parlementaires européens siégeant à Strasbourg de rejeter le projet, de la Commission, de directive sur les brevets logiciels. Ces derniers ont repoussés le vote qui était prévu pour le 1^er septembre au 22 du même mois.

Ils reprochent à la proposition de directive, sous l'apparence d'une clarification administrative, de permettre et d'inciter à la constitution de portefeuilles de brevets considérables. Selon eux, « l'exploitation de ces portefeuilles aurait des effets néfastes sérieux sur l'innovation, la croissance et la compétitivité européennes. » La possession de tous ces brevets découragerait l'innovation en matière de logiciels des « petites et moyennes entreprises, qui jouent un rôle central dans l'innovation logicielle en Europe aussi bien que l'Amérique du Nord. » Les brevets sont utilisés pour développer une stratégie industrielle plutôt que l'innovation.

La protection actuelle par les règles comme le copyright permettrait aux PME d'entrer en compétition avec les grands groupes ce qui n'est pratiquement plus le cas aux Etats-Unis où le système des brevets logiciels est en place. « Notamment, valider les brevets sur les standards viendrait assombrir la croissance de l'industrie européenne des logiciels libres et open source tout en préservant la dominance des leaders actuels. »

Les parlementaires européens sont invités à rejeter la proposition actuelle et à demander à son auteur, la Commission de Bruxelles, « une analyse économique qui considère correctement les conséquences potentielles de la brevetabilité des logiciels pour les développeurs et les utilisateurs européens de logiciels. »

• Birgitte Andersen, Birkbeck, University of London
• Paul A. David, Oxford Internet Institute and Stanford University
• Lee N. Davis, Copenhagen Business School
• Giovanni Dosi, Scuola Sant'anna Superiore
• David Encaoua, Université Paris I
• Dominique Foray, IMRI Université Dauphine
• Alfonso Gambardella, Scuola Sant'anna Superiore
• Aldo Geuna, SPRU, University of Sussex
• Bronwyn H. Hall, University of California, Berkeley and Scuola Sant'anna Superiore
• Dietmar Harhoff, Ludwig-Maxmiliens Universitaet
• Peter Holmes, SEI, University of Sussex
• Luc Soete, MERIT, University of Maastricht
• W. Edward Steinmueller, SPRU, University of Sussex

Légisilation
Manifestation sur le Web contre le brevet logicel européen le 27 août | 25/08/2003 MàJ 27/08/2003

Mercredi 27 août, jour de la manifestation physique organisée à Bruxelles pour protester contre le projet de directive européenne instituant un brevet européen pour les logiciels, Eurolinux Alliance et la FFII organisent une manifestation en ligne contre les brevets logiciels. Afin de figurer l'effet que l'application de la directive aurait, selon ces adversaires de la brevetabilité des logicels, sur de nombreux sites Web, ils appellent tous les sites européens à fermer l'accès à leur site et à accueillir leurs visiteurs par une page de protestation (un exemple).

Législation
Tribune : « La France, la corégulation et Internet » | 26/08/2003

Isabelle Falque-Pierrotin publie dans la rubrique « Débats & Opinions » du Figaro un intéressant article sur un phénomène qui trouve avec Internet un terrain idéal : la corégulation. L'auteur est bien placé pour disserter sur cette nouvelle manière concerter d'instituer les règles puisquelle est Conseiller d'Etat (haut fonctionnaire, membre du Conseil d'Etat, conseil supérieur du gouvernement et juge suprême de l'administration) et présidente du forum des droits sur l'Internet (association chargée de la concertation entre les acteurs sur les questions de droit et de société liées aux réseaux).

« (…) Dans un tel contexte, se prémunir contre tout danger devient un enjeu délicat : la loi n'est pas une réponse absolue. On ne peut pas fermer les frontières d'Internet. Un site pédopornographique fermé en France pourra diffuser de l'étranger les mêmes contenus illicites.

Plus généralement, la question de la régulation se pose pour l'Internet de façon nouvelle. Il semble bien que la complexité du réseau pose un défi aux mécanismes traditionnels de régulation qui donnaient un rôle privilégié à la réglementation publique. Désormais les procédures d'élaboration de la norme semblent devoir s'ouvrir à une plus large concertation, voire à une négociation. Pour l'universitaire Jacques Chevallier, le droit européen est le reflet de cette « postmodernité juridique » tendant à promouvoir « un style nouveau de politiques publiques fondées sur le pluralisme et l'ouverture, la négociation et le compromis ». (…)

Ce processus permettant d'associer de façon souple et équilibrée l'ensemble des parties prenantes à l'élaboration des règles du réseau est appelé la corégulation. Le rôle de l'Etat reste évidemment essentiel car il demeure seul investi du pouvoir de contrainte et seul à même de transformer les produits de la corégulation en norme légale. (…) »

Patch de sécurité pour Windows
Failles critique dans DirectX de Windows | 24/07/2003 MàJ 25/08/2003

Une vulnérabilité du type buffer overrun (dépassement de mémoire tampon) a été identifié dans le composant DirectShow de DirectX qui est utilisé par Windows pour exploiter les fichiers multimédia. La vulnérabilité se trouve dans le composant responsable de l'analyse des fichiers audios au format MIDI (.MID). Les autres formats de fichiers médias traités par DirectX, comme Advanced Systems Format (ASF), Motion Picture Experts Group (MPEG), Audio-Video Interleaved (AVI), MPEG Audio Layer-3 (MP3), WMV et WAV, ne sont pas affectés par cette vulnérabilité. Pour exploiter cette faille de sécurité un agresseur devrait créer un fichier MIDI spécifiquement corrompu et les faire exécuter par le système en l'hébergeant sur un site Web ou un réseau partagé et en amenant l'internaute à cliquer sur un lien, ou l'amenant à visiter une page contenant le fichier MIDI, ou encore en créant un email HTML avec un lien vers une page Web ou un réseau partagé contenant le fichier ou le fichier MIDI corrompu pourrait être envoyé par email. L'attaquant pourrait alors exécuter le code de son choix sur le système de la victime dans le contexte des privilèges de l'utilisateur en cours.

Le bulletin de sécurité publié par Microsoft le 23 juillet a été modifié mis août afin d'y ajouter de nouvelles versions de DirectX concernées par ce correctif. S'il a déjà été installé précédemment, inutile de l'installé à nouveau, aucun changement n'est intervenu sur les versions initiales.

Sont concernés par cette faille et doivent installer le patch de sécurité proposé par Microsoft, les utilisateurs de :

• DirectX 5.2 on Windows 98
• DirectX 6.1 on Windows 98 SE
• DirectX 7.0a sur Windows Millennium Edition
• DirectX 7.0 sur Windows 2000
• Microsoft DirectX 7.1 sur Windows Millennium Edition
• Microsoft DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b lorsqu'ils sont installés sur Windows 98, Windows 98 Seconde Edition, Windows Millennium Edition ou Windows 2000
• DirectX 8.1 sur Windows XP et Windows Server 2003
• DirectX 9.0a lorsqu'il est installé sur Windows 98, Windows 98 Seconde Edition, sur Windows Millennium Edition, Windows 2000, Windows XP ou Windows Server 2003
• Windows NT 4.0 avec soit Windows Media Player 6.4 soit Internet Explorer 6 Service Pack 1 installé
• Windows NT 4.0, Terminal Server Edition avec soit Windows Media Player 6.4 soit Internet Explorer 6 Service Pack 1 installé.

Vous pouvez obtenir votre version de DirectX en exécutant l'outil de diagnostic « dxdiag.exe », habituellement localisé dans le dossier Windows\System ou System32 ou dans le menu Démarrer, après avoir cliqué sur Exécuter…, saisissez dxdiag dans la boîte de dialogue ouverte et cliquez sur OK.

Microsoft a mis en circulation DirectX 9b : TousLesDrivers.com, Microsoft DirectX 9.0b, 24 juil. 2003

Clubic, Pas de DirectX 9.0b pour les All-In-Wonder, 22 août 2003, Vincent

Recherche & développement
WorldWide Lexicon : Un projet open source de traduction distribuée et partagée | 25/08/2003

Le projet open source WorldWide Lexicon (WWL) dont les premiers essais sont attendus en 2004 ambitionne de créer un réseau de bénévoles afin d'améliorer la traduction automatique de textes encore trop aléatoire. Le projet s'articule autour d'un protocole simple et standardisé pour converser avec les serveurs de dictionneurs et d'encyclopédie par Internet et d'un réseau de collaboration matérielle et humaine. Ce dervait être comme un GNUtella pour dictionnaires couplé à SETI@Home.

« Le service WWL devrait être accessible aussi bien avec un traitement de texte comme Word qu'avec un logiciel de messagerie instantanée, sans qu'il soit nécessaire d'ouvrir le navigateur Web. Il autoriserait des traductions dans plusieurs dizaines de langues. Afin d'affiner les résultats, le WWL devrait s'appuyer sur un réseau de traducteurs bénévoles reliés en P2P (peer-to-peer). Les textes difficiles à traduire seront fragmentés et distribués aux membres de la communauté disponibles par le biais de leur messagerie instantanée. »

Mais son succès ne sera assuré que par l'adoption du protocole commun par les ressources linguistiques en ligne et par la réunion autour du projet d'une communauté de traducteurs motivés et compétents dans toutes les langues, sources et cibles.

Virus / Patch de sécurité pour Windows
De la nécessité d'installer les correctifs Microsoft régulièrement | 15/08/2003 MàJ 23/08/2003

Une utilisation hebdomadaire du service Microsoft Windows Update suffit dans la quasi-totalité des cas à échapper à l'exploitation par des virus et autres calamités du Web des failles de sécurité découvertes dans Windows. Ainsi, un mois après la publication des correctifs par MS, les systèmes d'exploitation Windows Server 2003, XP, 2000 et NT 4 sont victimes d'une vague de redémarrages intempestifs lors de l'accès à Internet. L'application du patch adéquat, sorti le 16 juillet aurait suffit à protéger de l'attaque de LoveSan/MSblast un ver proliférant dont le symptôme est l'affichage du message « Arrêt du système (…) Cet arrêt a été initié par AUTORITE NT\SYSTEM ».

« Contrairement à la plupart des vers, il ne se propage pas sous la forme d'un e-mail », explique à ZDNet François Paget, expert en virus chez l'éditeur Network Associates (McAfee).

« Il s'agit d'un fichier exécutable qui transite via les réseaux. Une fois activé le virus scanne toutes les adresses IP du réseau à la recherche d'une machine n'ayant pas le port TCP 135 protégé, c'est-à-dire là où réside la vulnérabilité de Windows. S'il la trouve, le ver se copie alors sur son disque dur et s'autoéxecute. Tout recommence alors, créant au final un effet boule de neige. »

Le ver actuel ne provoque que des redémarrages énervants mais le prochain pourrait être plus destructeur. Ceux qui se sont faits avoir par LoveSan doivent mettre à jour leur système en installant le correctif MS et appliquer l'utilitaire de désinfection disponible chez Symantec : FixBlast (165 Ko) ou le plus généraliste Stinger (699 Ko) de McAfee.

En espérant que cet avertissement sera entendu au-delà des victimes de ce mois d'août…

Microsoft France propose une page « Ce que vous devez savoir sur le ver Blaster ». Y figure cet avertissement : « Un canular circule : Un message électronique, actuellement en circulation, propose un soi-disant correctif contre Blaster. Ceci ne provient en aucun cas de Microsoft. Attention, Il installe en fait un “cheval de Troie”, un virus caché dans un autre programme. Microsoft vous rappelle qu'il ne distribue jamais par courrier électronique de logiciel à télécharger directement à partir d'une pièce jointe. »

Patch de sécurité pour Windows
Faille de sécurité critique sur les MDAC inclus dans de nombreux produits Microsoft | 23/08/2003

« Microsoft Data Access Components (MDAC) est une collection de composants qui facilitent aux programmes l'accès aux bases de données et la manipulation des données qu'elles contiennent. Les bases de données modernes peuvent prendre des formes diverses (par exemple, bases de données SQL, bases de données Access, fichiers XML, etc.) et être hébergées dans des emplacements divers (par exemple, sur le système local ou sur un serveur de base de données distant). MDAC fournit un ensemble consolidé de fonctions pour travailler sur toutes ces bases de données de façon cohérente. Une bonne présentation de MDAC et de ses composants est disponible sur MSDN. Le défaut vient de ce que les données contenues dans le paquet ne sont pas correctement validées par le client.

La technologie MDAC s'installe en tant que partie de Windows XP, Windows Me, Windows 2000 et Windows Server 2003. Notez cependant que la version installée avec Windows Server 2003 n'est pas affectée par cette vulnérabilité. Elle est installée par beaucoup d'autres applications Microsoft. Par exemple, elle fait partie de Windows NT 4.0 Option Pack, de Microsoft Access et de SQL Server. Certains des composants de MDAC sont inclus dans d'autres technologies Microsoft. Par exemple, Internet Explorer comporte des fonctions MDAC.

Il existe également un outil qui peut vous aider à déterminer quelle version de MDAC s'exécute sur votre système. L'article 307255 de la Base de connaissances décrit cet outil et son utilisation. »

Pour plus d'informations sur le patch à « installer immédiatement » qui corrige le risque de dépassement de mémoire tampon découvert, consultez le bulletin de sécurité Microsoft MS03-033 du 20 août 2003.

Format
Les fichiers Word toujours aussi indiscrets | 23/08/2003

« Une étude réalisée par le laboratoire de recherche d'AT&T montre que les modifications et les suppressions effectuées dans un document Word peuvent être mises à jour malgré l'utilisateur. En effet, sur 100.000 documents Word téléchargés sur Internet dans le cadre de l'étude, 40 % contenaient au-delà de 50 mots cachés et 10 % en comprenaient plus de 500. Pour faire apparaître ces mots cachés, le laboratoire a indiqué avoir juste converti en texte simple les fichiers Word avant d'utiliser un script pour extraire les informations effacées. Enfin, même si l'expérience a été menée avec des documents Word, le laboratoire précise que les résultats concerneraient en fait la plupart des éditeurs sophistiqués. »

Même si les versions actuelles du célèbre logiciel de traitement de texte, composant de la suite Microsoft Office, n'attribuent plus d'identifiant unique — encore que nombre de versions non patchées d'Office 97 sont encore utilisées — il ne devrait pas être utiliser en cas de transmission de fichiers. Tony Blair, le premier ministre britannique, l'a appris à ses dépends lors de la transmission au format .doc de son rapport bidonné sur la menace irakienne. Le cheminement entre les différents postes du cabinet du premier ministre a ainsi facilement pu être extrait du rapport distribué aux journalistes.

Messagerie instantanée
MSN Messenger 5 et Trillan bientôt interdits sur le réseau du messager instantané de Microsoft | 21/08/2003

« Sean Sundwall de Microsoft a annoncé que l'ensemble des utilisateurs de MSN Messenger, le célèbre logiciel d'échange de messages de la firme de Redmond, devaient mettre à jour leur logiciel avec la dernière version disponible (la 6.0 actuellement), sans quoi ils ne pourront plus utiliser ce service prochainement.

Microsoft prévoit en effet de bloquer l'accès aux anciennes versions du logiciel à partir du 15 octobre prochain, car ces versions contiennent des failles de sécurité majeures qui ont été corrigées par MSN Messenger 6.

Sean Sundwall a également indiqué les logiciels hybrides de type Trillan, ne pourront plus utiliser les fonctionnalités de MSN Messenger à partir de cette date. Il encourage d'ailleurs les développeurs responsables de ces applications à contacter Microsoft pour obtenir un accord pour exploiter les fonctionnalités de MSN Messenger. »

Justice
Microsoft condamné à payer 521 millions de dollars pour avoir volé du code pour Internet Explorer | 11/08/2003

L'Université de Californie et un ancien professeur parti créer sa société à Chicago, Eolas Technologies, prétendaient que Microsoft était devenu compétitif face à Netscape Navigator, alors maître du marché des navigateurs, grâce à leur invention révolutionnaire. L'invention avait été présentée à Microsoft qui avait prétendu qu'elle ne fonctionnait pas pour la rejeter.

Persuadés qu'Internet Explorer violait leur brevet sur une méthode autorisant un navigateur Internet à accéder à des mini-programmes interactifs incorporés dans des pages Web, les inventeurs réclamaient à Microsoft devant une cour fédérale de Chicago, la modique somme de 1,2 milliard de dollars. Après un mois d'audition de témoins les jurés viennent d'accorder aux demandeurs, la société Eolas Technologies et l'Université de Californie, la somme de 521 millions de dollars. Microsoft a déclaré son intention d'interjeter appel de la décision.

En plus d'un abus de position dominante, le succès d'Internet Explorer semble basé sur un pillage de technologie.

Sécurité / Protocoles
Communications dissimulées en détournant le protocole TCP/IP | 05/08/2003

« L'outil présenté lors du salon de pirates Black Hat 2003, à Las Vegas, permet de transmettre un message de manière anonyme sur Internet. Il associe pour cela le principe des « canaux cachés » et de l'usurpation d'identité. »

Les explications techniques dans la suite de l'article de 01net…

Patch de sécurité pour Windows
Nouvelle faille dans l'implémentation par Windows du protocole RPC | 17/07/2003 MàJ 31/07-01-05/08/2003

Une faille de sécurité a été découverte dans le traitement, par Windows NT 4.0, 2000, XP et Serveur 2003, du protocole de communication RPC (Remote Procedure Call) qui permet l'exécution de codes sur un ordinateur distant. Une faille du 26 mars dernier concernait déjà ce service de Windows et Microsoft déclarait alors ne pas être en mesure de fournir de correctif pour le "vieux" Windows NT 4. Pour la faille d'aujourd'hui Microsoft propose un patch pour toutes le versions de Windows concernées. Le service de RPC de Windows ne vérifie pas correctement des entrées de message dans certaines circonstances. La vulnérabilité affecte une interface DCOM (Distributed Component Object Model) à l'écoute du port 135. Pour exploiter cette vulnérabilité, un attaquant devrait envoyer par le réseau une demande spécialement formée sur le port 135 et provoquer un dépassement de mémoire tampon. L'agresseur pourrait alors exécuter le code de son choix avec les privilèges locaux du système. Il aurait la possibilité d'installer des programmes, de supprimer des données et de créer de nouveaux comptes avec privilèges d'administrateur.

« Deux autres failles ont été « comblées » par la compagnie ; l'une concerne Windows XP, l'autre son serveur spécialisé en sécurité ISA Server 2000. Elles ne sont toutefois qualifiées que de menaces « importantes », un degré en dessous de « critique ». Les dangers les plus sérieux ne constituent pas des raretés. Depuis le début de l'année, Microsoft a publié 28 correctifs de sécurité, dont 12 « critiques », soit 43 % de l'ensemble. Le précédent datait ainsi du 9 juillet. Juillet pourrait d'ailleurs rattraper avril, le mois le plus chargé, avec trois failles classées critiques. »

Microsoft conseille de bloquer le port 135 avec un firewall et de ne pas utiliser le protocole RPC avec TCP dans un environnement hostile comme Internet.

« Face à de telles menaces, le CERT recommande vivement à tous les utilisateurs d'appliquer le patch mis à disposition sur le site de Microsoft, ainsi que de bloquer les ports utilisés par les procédures RPC (ports 135, 139, et 445). »

Six patchs sont proposés :

• Windows NT 4.0 Server
• Windows NT 4.0 Terminal Server Edition
• Windows 2000
• Windows XP 32 bit Edition
• Windows XP 64 bit Edition
• Windows Server 2003 32 bit Edition
• Windows Server 2003 64 bit Edition

01net., Microsoft s'installe dans la routine des rustines, 17 juil. 2003, Ludovic Nachury

Ailleurs :

ZDNet, Nouvelle faille critique dans la famille Windows, 17 juil. 2003, Christophe Guillemin

Réseaux & Télécoms, Faille : Trois rustines chez Microsoft, dont une à appliquer d'urgence, 17 juil. 2003, Marc Olanie

Weblogs / Mozilla
Un logiciel pour créer ses weblogs avec Mozilla | 01/08/2003

« La vague des weblogs est en pleine effervescence. Et NewsMonster vient s'ajouter à la liste déjà bien dodue des outils les plus aisés. Newsmonster permet la création de weblog et la manipulation de “news” sur n'importe quel système pourvu d'un navigateur Mozilla 1.4 / Netscape 7, de Javascript et de Java 1.4. Basée sur Mozilla, cette version 1.2 du logiciel se pilote directement dans Mozilla. Pour la mise à jour, les développeurs se concentrés sur la convivialité et la performance de leur solution. La liste des nouvelles fonctionnalités est détaillée sur le site NewsMonster.org. »

NewsMonster est aussi un agrégateur RSS. La version 1.2.1 finale est disponible (5,9 Mo) pour Mac OS X, Linux et Windows pour US$ 29,95 en version complète ou gratuitement pour un usage non commercial avec les seules fonctions de bases de la version pro. Le fichier est au format XPI qui doit être ouvert avec Mozilla (ou Netscape).

Sécurité / Courriel
Dangereuse alliance entre le spam et les virus | 01/08/2003

« Pour contourner antivirus et pare-feu, les virus utilisent désormais le spam - ou courrier indésiré - comme passerelle vers les ordinateurs. Une réelle menace pour les particuliers et les entreprises, selon le Corporate IT Forum.

Selon l'organisation liée à l'industrie Corporate IT Forum (TIF), les virus spam - ou v-spam - contournent antivirus et pare-feu en incitant les utilisateurs à cliquer sur un lien vers une page Web à partir d'un e-mail ; le site Web leur renvoie alors un virus. TIF affirme que les incidents liés au v-spam augmentent au même rythme que le spam, lequel a doublé depuis l'année dernière. (…)

« Cliquer sur un lien dans un e-mail spammé revient à donner à un voleur les clés de votre maison », a affirmé David Roberts, responsable de TIF. « Les gens doivent comprendre que de très mauvaises surprises peuvent les attendre derrière chaque spam. Si vous ouvrez un lien dans un e-mail spammé, il peut se passer des jours ou des semaines avant que vous sachiez que vous êtes infecté par un virus. » Il semble que les v-spams les plus répandus soient des e-mails vous proposant de vous désinscrire de toutes les fausses newsletters que vous recevez, des messages avec des liens vers des “offres imbattables” ou encore des e-mails invitant les utilisateurs à télécharger des cartes de vœux virtuelles. (…) »

Sécurité
Les militaires américains victimes d'une vulnérabilité non corrigée depuis 1998 | 01/08/2003

Illustration de notre dépêche précédente, une vieille vulnérabilité non prise en compte d'un logiciel pour seveurs vient ridiculiser la défense américaine. « Une erreur de programmation plus qu'une faille de sécurité. C'est pourtant cette erreur de code, repérée dès 1998 dans le système d'administration des logiciels Netscape Enterprise Server (NSE), que Le Canard Enchaîné a monté cette semaine en épingle pour ridiculiser une agence officielle du gouvernement des États-Unis. Et pas n'importe laquelle: il s'agit de la DISA (Defense Information Systems Agency), « créée en 1960 pour contrôler et “sécuriser” les systèmes de communication des armées américaines », se gargarise l'hebdomadaire. « Elle emploie aujourd'hui la bagatelle de 8000 militaires et civils dans une quinzaine de bases ».

« C'est en fait un simple défaut d'installation » [du logiciel Netscape Entreprise Server] », confie Antoine Champagne à ZDNet. L'erreur figure dans « le mode d'indexation du contenu du site ». Résultat : la racine du serveur apparaît à nu sans avoir besoin d'acquérir les droits d'administrateur, sans devenir « root », donc sans “craquer” ni dérober de mot de passe. Ce qui a « popularisé » l'erreur, c'est que cette option était disponible via un simple bouton à partir du client Netscape (le navigateur de base), et ce dès la version 4.7. Une fois sur la racine, la page Netscape laisse s'afficher la liste de tous les fichiers déposés dans le répertoire principal. (…) C'est ensuite un jeu d'enfant de cliquer sur n'importe quel fichier, qui peut néanmoins être protégé par un mot de passe, ce qui est finalement rarement le cas. (…)

Chaouki Bekrar, consultant en sécurité et responsable de Bugtraq France, créée par l'éditeur Symantec (…) : « Des dizaines de serveurs gouvernementaux américains souffrent encore de ce genre de vulnérabilités "basiques", exploitables grâce à un simple navigateur. Les serveurs français ne font pas exception, un énorme travail reste donc à faire au niveau de la veille sécurité. » (…)

« Cette faille Netscape n'est pas la plus dangeureuse », poursuit le responsible de Bugtraq France, « d'autres encore plus graves et plus simples à exploiter sont présentes sur les serveurs gouvernementaux français ou américains, comme par exemple des problemes basiques d'injection SQL, ou encore une faiblesse des mots de passes administrateurs ». »