[News] Les correctifs logiciels de Microsoft: des cadeaux pour les hackers

[Adrien]

Un groupe de chercheurs des universités de Pittsburgh, Carnegie Mellon et Berkeley vient de publier les résultats d'une étude sur la vulnérabilité des programmes Microsoft suite à la mise en circulation de correctifs. Ces chercheurs ont mis au point une technique qui crée automatiquement du code d'attaque en comparant les versions vulnérables et réparées d'un même programme. La méthode, baptisée Automatic Patch Based Exploit Generation (APEG), peut créer du code d'attaque pour ...

Lire la suite

[Victor]

Question sans intérêts a-t-on intérêt à charger les mises à jours si ça donne des pistes pour les hackers ? Microsoft a une mauvaise pub là...

[Guiom]

En fait l'article fait comprendre que oui, au plus vite : les correctifs sont analysés par le logiciel qui "comprend" quelles sont les failles qu'il répare, et comme de nombreux utilisateurs de Windows n'automatisent pas l'installation des patchs correctifs de sécurité, le logiciel permet d'utiliser les failles qui sont dévoilées par ces correctifs...

Je n'aurai qu'un mot : Hardy.

[Victor]

En fait l'article fait comprendre que oui, au plus vite : les correctifs sont analysés par le logiciel qui "comprend" quelles sont les failles qu'il répare, et comme de nombreux utilisateurs de Windows n'automatisent pas l'installation des patchs correctifs de sécurité, le logiciel permet d'utiliser les failles qui sont dévoilées par ces correctifs...Je n'aurai qu'un mot : Hardy.

Oui au plus vite ? Déjà que ma parano n'aime pas Microsoft et ses logiciels dont je soupçonne de m'espionner... Si en plus il faut se faire super protégé... Ben, ça reste un mauvais Deal pour Microsoft

[dong]

Bonjour,

L'article dit :

Code : Tout sélectionner

Ces chercheurs ont mis au point une technique qui crée automatiquement du code d'attaque en comparant les versions vulnérables et réparées d'un même programme. 

Mais avant il y a ceci :

Code : Tout sélectionner

 Un groupe de chercheurs des universités de Pittsburgh, Carnegie Mellon et Berkeley vient de publier les résultats d'une étude sur la vulnérabilité des programmes Microsoft suite à la mise en circulation de correctifs.

Il s'agit bien d'une étude ! Il n'existe aucun logiciel automatisant la création de code d'attaque à partir d'un patch.
D'ailleurs, l'analyse différentielle de patch existe depuis bien longtemps et donc des outils ont été prévu pour...Derniére chose, la majorité des vulnérabilités ne font que produire un BSOD (Bleu Screen Of the Death) c'est à dire planter la machine...

[Maulus]

hihi
utiliser les patchs pour mettre en pratique des vers d'attaques avant que sa patch dans le monde entier.
sacrés crackers, toujours aussi malins

[Victor]

Lorsque ton logiciel bugue tu rigoles moins déjà qu'avec Office XP ça déconne

[Pipo]

Si ton logiciel bugue, essaie un équivalent libre qui existe sous Windows (ici, la suite Open Office), par exemple. Si ton OS buggue... on peut suivre la même logique

[Xzander]

Il s'agit bien d'une étude ! Il n'existe aucun logiciel automatisant la création de code d'attaque à partir d'un patch.

Il en existe peut-être déjà...

[Victor]

Pour la suite open office elle est sympa mais je trouve que office XP quand il bugue pas possède des dictionnaires de corrections plus pertinents dans les items

[cisou9]

Donc dans le fin fond de l'histoire; faut-il ou pas faire les mises à jour ?

[Maulus]

non
le principe de base c'est d'utiliser des OS dépassés

avec un OS dépassé, tu te prend pas de virus parce que toutes les routines qu'utilise les virus récents ne fonctionne plus.

globalement, l'informatique windowsique virusique se décline en 3 règles :
1) ne pas utiliser Outlook
2) ne pas utiliser Internet Explorer
3) ne pas telecharger de .exe ou de .mpeg sans être sur d'ou sa vient

et j'ajoute une règle ressente :
- ne pas utiliser MSN Messenger

écoutez moi, utilisez des programmes rares !
regardez les stats sur internet, navigateur web "Opera" = 0,02% des navigateurs sur le web = j'utilise.

de rien

[TheMarauder]

Lorsque ton logiciel bugue tu rigoles moins déjà qu'avec Office XP ça déconne

Un système informatique qui plante ca rend pas service, si en plus il est vulnérable au virus c'est pas sympa. Mais la c'est encore pire, il est vulnérable lors de ses mises a jour ....

Je suis bien sous GNU/Linux moi ...

non
le principe de base c'est d'utiliser des OS dépassés

avec un OS dépassé, tu te prend pas de virus parce que toutes les routines qu'utilise les virus récents ne fonctionne plus.

Tu te trompes un peu quand meme. Avec un OS dépassé tu es encore plus vulnérable et bien entendu tu ne bénéficie pas d'un système a jour ... Et puis bon, je connais un système A JOUR qui n'utilise pratiquement AUCUN virus moi

globalement, l'informatique windowsique virusique se décline en 3 règles :
1) ne pas utiliser Outlook
2) ne pas utiliser Internet Explorer
3) ne pas telecharger de .exe ou de .mpeg sans être sur d'ou sa vient

Donc, ne rien faire et rester dans la peur constante ^^
j'en ajoute une quatrième : booter sur GNU/Linux

et j'ajoute une règle ressente :
(s/ressente/réCente)
- ne pas utiliser MSN Messenger

A défaut, sous Linux msn ne pose pas de soucis, par contre moi j'ai pas réussis a m'en passer encore ...

J'oubliais le principal :

Sous Linux (désolé d'en rajouter) il existe un systeme de mise a jour sécurisé ou tout nos dépots logiciels sont authentifiés à l'aide clés. Bon y'a toujours mieux en sécurité mais quand je vois que Microsoft tente a peine d'y penser ça me fait mal pour ceux qui ont acheté des licence Microsoft ...

[buck]

Linux ci linux ca...
Comme d'hab ca ne fait pas avancer le schmilblic. N'importe quel logiciel (tout compris) est succeptible de planter et d'etre pirate.
Firefox qui est utliser sous toutes les plateformes peut etre touche, dc l'os avec ...

[TheMarauder]

Linux ci linux ca...
Comme d'hab ca ne fait pas avancer le schmilblic. N'importe quel logiciel (tout compris) est succeptible de planter et d'etre pirate.
Firefox qui est utliser sous toutes les plateformes peut etre touche, dc l'os avec ...

On peut tenter de minimiser les risques ^^

[gzav]

Ben moi aussi je vais taquiner, un mac ça plante pas (je n'ai jamais reinstalle le systeme), ça dure longtemps, c'est ergonomique, pas de prise de tete d'installations de drivers et que sais-je, pas de virus (je n'ai pas d'antivirus).
les .exe tournent pas sur mac (c'est bien et c'est chiant parfois quand meme), mais OSX est ouvert a l'open source.

[buck]

the marauder: certes mais meme linux reste attaquable

gzav: un exemple ne vaux pas loi:
J'ai un pote qui est pro mac , il a eu le malheur de me le laisser qq minutes entre les doigts avec un joli plantage a la fin (sur OS9, j'ai pas essaye X)
MAis bon a partir du moment ou tu veux upgrader ton mac (ce qui reste faisable ) tu retrouve les soucis de driver and co
Linux , solaris aussi plantent ... en general ca vient de 2 facteurs: pas mal de process en paralleles et souvent codes mal ecrits. Et ca n'est pas pres de finir car besoin de ressources et de resultats.

un exe ne tourne pas sous mac, c'est assez normal.... vu que le code est pour windows.
De meme une lib linux ne marche pas sous win, et meme sous mac si elle n'est pas compilee pour ...

[Victor]

J'ai copain un peu fada d'informatique qui comparait les mac à des tracteurs agricoles en gros ce qu'il voulait dire c'est qu'ils tournait pas vite et que dans les jeux vidéos rien ne valait un PC

[Maulus]

moi j'ai un xp pro service pack 0
jamais emmerdé, et au cas ou sa arrive, j'ai windows sur une partoche à part, zou je format - 30 minutes.
ya une différence entre utiliser et savoir utiliser.
publique averti et tout le tralala des pigeons qui surf sur le net comme des inconscients qu'ils sont

[gomodo]

Maulus, je gère des centaines de PC depuis des années.. je t'embaucherais pas comme consultant en sécurité.. tout conscient que suis d'être du métier.

Par contre j'ai retrouvé une trentaine de disquette Windows 3.11 dans mon placard si ça t'interesse... (J'ai aussi le DOS 5.01, mais c'est sur des disquettes 5 pouces).

[Victor]

Et comment tu lis tes disquettes ?
Y'a plus de Floppy... Voilà une bonne question

[TheMarauder]

the marauder: certes mais meme linux reste attaquable

Rien n'est inviolable c'est sur ...

un exe ne tourne pas sous mac, c'est assez normal.... vu que le code est pour windows.
De meme une lib linux ne marche pas sous win, et meme sous mac si elle n'est pas compilee pour ...

On peut faire tourner pas mal de jeux et apps windows sous Linux, le portage des librairie microsoft sur Nux se portent assez bien. Après c'est sur que rien ne vaux un VRAI portage.
Il est possible de faire la meme chose sous Mac.

En même temps, je souhaite quand meme faire passer le message que des ALTERNATIVES existent et sont vraiment efficace. Hormis la partie technique qui est souvent discutée de manière trop subjective (moi aussi, donc), j'ai du mal a attaquer un système qui est OUVERT et colaboratif (on a donc les pleins pouvoir sur son systeme dans la mesure ou le code est aux yeux de tous). Mieux encore, il génère autant de profit que de possibilité d'accession au multimedia par les gens les moins fortunés.

A aussi, il y a eu récement un gros trou de sécurité découvert sur la librairie OpenSSL utilisée sous ma Debian. Le correctif a été mis à disposition pratiquement en même temps que l'annonce de la découverte de cette faille. Toute la procédure a complètement hinibé ce trou de sécurité. Ça donne quand meme une idée de la réactivité ...

[buck]

La on se rejoint
Les alternatives existent mais sont elles accessibles pour un utilisateur lambda? Ca le devient de plus en plus (je pense a ubuntu), mais il faudrait que ca soit propose a l'achat du pc, ce qui est lus que loin d'etre le cas, et que l'offre logicielle soit faite pour tous les systemes (utopique?) (sans compter la formation des utilisateurs)

[Maulus]

Maulus, je gère des centaines de PC depuis des années.. je t'embaucherais pas comme consultant en sécurité.. tout conscient que suis d'être du métier.

Par contre j'ai retrouvé une trentaine de disquette Windows 3.11 dans mon placard si ça t'interesse... (J'ai aussi le DOS 5.01, mais c'est sur des disquettes 5 pouces).

Faut dire aussi que je gère pas mon PC familial comme une DMZ hin...

[TheMarauder]

La on se rejoint
Les alternatives existent mais sont elles accessibles pour un utilisateur lambda? Ca le devient de plus en plus (je pense a ubuntu),

C'est ce que j'installe tout les jour pour des clients. Bien sur, suivant les gens ca parait facile et pour d'autres moins. Les plus motivé sont surtout ceux qui n'ont jamais connu vraiment l'informatique ou qui la suivent de loin. Les plus "dur a cuire" sont ceux qui ont une longue expérience de Windows (les habitudes sont tenaces) . Mais mis à part certaines applications _vraiment_ pas existante sous le systeme libre (ce qui est de plus en plus contournable par ailleur) tout va pour le mieux. Je rencontre des utilisateur de tout bord et de tout niveau et ils sont assez unanime pour me dire qu'ils sont heureux, qu'ils trouvent ca simple et qu'il ne voudraient pas en changer

mais il faudrait que ca soit propose a l'achat du pc, ce qui est lus que loin d'etre le cas,

C'est très rare en effet. De plus la vente forcée (illégale en france) a fait des ravage et c'est difficile de revenir en arriere :/
De plus, le peu d'effort de vente dans ce domaine, on s'apercois que bien souvent les produit sont plus cher avec le Manchot dessus ce qui est complètement incensé vu le cout des logiciels (je pense plutot que ce sont les OEM Windows qui sont volontairement/anormalement moins cher).

et que l'offre logicielle soit faite pour tous les systemes (utopique?) (sans compter la formation des utilisateurs)

C'est souvent le cas avec les produits opensource. cela dit j'encourage aussi les éditeurs du monde "propriétaire" à faire de meme et surtout fingnoler les applis Linux avec autant de soins qu'ils le feraient pour Windows et Mac, ce qui est rarement le cas.

Tout n'est pas tout blanc ni tout noir, mais ça avance dans le bon sens malgré tout.