Archives des forums MMO/MMORPG > Forums divers > La Taverne > Sécurité : Nouvelle faille décelée dans les dernières versions de Windows
Sécurité : Nouvelle faille décelée dans les dernières versions de Windows
Par TheYoMan / Ze Iomane le 30/8/2002 Ã 0:09:48 (#2057524)
Sécurité: Nouvelle faille décelée dans les dernières versions de Windows
Par Robert Lemos
CNET News.com
29 août 2002
La gestion des certificats électroniques, incontournable notamment pour acheter en ligne, est défaillante dans les toutes dernières versions du système d'exploitation vedette de Microsoft (de 98 à XP).
Microsoft a indiqué mercredi 28 août que plusieurs versions de son système d'exploitation Windows comportent une faille critique, susceptible de laisser la porte ouverte à des utilisateurs malveillants.
La vulnérabilité, qualifiée de critique par l'éditeur, se situe au niveau du contrôle d'inscription de certificats numériques (Certificate Enrollment), que les ordinateurs utilisent pour se connecter à des services marchands sur internet. Un certificat est une sorte de sésame électronique qui valide l'identité d'un émetteur pour un serveur distant; on s'en sert lors de transactions financières ou lors d'échanges sécurisés par des méthodes de chiffrement.
Concrètement, un pirate peut insérer un contrôle ActiveX piégé dans du code HTML, langage présent sur toutes les pages web, ainsi que dans les e-mails écrits dans ce format. Lorsqu'un internaute disposant d'un ordinateur Windows arrive sur ces pages piégées, le contrôle ActiveX est appelé d'une certaine façon, via un procédé complexe, de manière à ce qu'il supprime les certificats présents sur le système de l'utilisateur.
Si la faille ne permet pas au pirate de s'emparer des certificats, ce dernier peut corrompre les données qu'ils contiennent, notamment les clés de chiffrement utilisées dans les e-mails. Ces données deviennent alors inutiles pour l'utilisateur. Selon les certificats qui sont corrompus, la victime peut ne plus être en mesure de chiffrer ou déchiffrer des e-mails et fichiers. L'utilisation de sites web sécurisés devient également plus compliquée.
Les certificats numériques contiennent les clés de chiffrement utilisées dans les e-mails. Il s'agit du "système de fichiers chiffrés" (ESS) qui est fourni avec Windows 2000 et Windows XP Professionel. Les clés sont également présentes dans le protocole de communication SSL (Secure Sockets Layer), utilisé par des sites web pour reccueillir le numéro de carte bancaire réclamé lors d'un paiement à distance.
Microsoft recommande aux utilisateurs de Windows 98, Windows 98 Seconde édition, Windows Millennium, Windows NT 4.0, Windows 2000 et Windows XP d'appliquer le correctif sur leur système au plus vite.
Source ZDnet
Et apres ils veulent que j'achete OnLine en mettant mon numéro de carte bleue... :rolleyes:
Ai confffiannnceeeee...... qu'ils disaient.....
lol
Comme quoi la securité a 100% ca n'existe jamais vraiment.
[Editer pour rajouter un lien vers le correctif... au cas ou ... :rolleyes: ;) ]
L'homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique.
Physicien américain (Nobel de physique 1921) [ Albert Einstein ]
Par Nikkau, Flipper le le 30/8/2002 Ã 0:20:05 (#2057598)
Sécurité: Internet Explorer sous enquête chez Microsoft
Par Lemuel le 30/8/2002 Ã 11:13:05 (#2059497)
Microsoft enquête au sujet d'allégations qu'il y aurait une faille dans la sécurité de son logiciel Internet Explorer.
La faille en question permettrait à des pirates de se faire passer pour de légitimes opérateurs de site Web. Cela leur donnerait potentiellement accès aux noms des utilisateurs d'ordinateurs, à leurs mots de passe et leurs numéros de cartes de crédit.
Même si Microsoft indique qu'il est trop tôt pour évaluer la sévérité du problème, ou même pour confirmer que le problème existe, certains programmeurs et consultants indiquent qu'il s'agit d'une situation qui pourrait menacer la sécurité à tous les niveaux, des transactions bancaires au commerce en ligne.
Selon Elias Levy, de Symantec, le problème est «relativement sérieux». Il souligne toutefois que l'utilisation de la faille est d'une complexité telle que les possibilités d'attaques à grande échelle sont peu probables.
Les pirates qui voudraient profiter de la faille pourraient tromper les utilisateurs d'ordinateurs, leur faisant croire qu'ils visitent des sites Web légitimes, et pourraient les convaincre de divulguer des informations personnelles.
Mike Benham, un programmeur de San Francisco qui a découvert le problème, a mis l'information concernant sa découverte en ligne le 5 août dernier, dans un site populaire consacré aux alertes concernant la sécurité informatique.
Il indique que les versions 5.0, 5.5 et 6.0 d'Internet Explorer ont des failles dans la façon dont ils traitent les certificats numériques de sites Web, comme ceux de VeriSign par exemple, qui servent à authentifier qu'un site Web est bien légitime. Ces certificats contiennent aussi un code unique pour l'encryptage d'information.
De façon générale, n'importe quel opérateur de site Web avec un certificat valide pourrait prétendre être n'importe quel autre opérateur de site.
Microsoft enquête toujours et il n'est même pas certain qu'il faille parler de vulnérabilité, selon Scot Culp, directeur du Security Response Center. Cette possible faille apparaît au moment ou Microsoft vient de lancer un programme de grande envergure - sous le nom de Thrustworthy Computing - visant à résoudre les problèmes de sécurité.
N'empêche que pour l'instant les problèmes demeurent. En effet, l'entreprise a émis jusqu'à maintenant 41 bulletins de sécurité avec rustines cette année.
Microsoft a critiqué Benham de ne pas avoir contacté l'entreprise en premier lieu et d'avoir plutôt opté de mettre l'information en ligne directement. Ce dernier a répliqué qu'il n'avait pas avisé d'abord Microsoft parce qu'il était frustré par la façon dont l'entreprise avait répondu à d'autres chercheurs en sécurité par le passé.
Source
Par Lumina le 30/8/2002 Ã 14:09:40 (#2060832)
Sinon, d'accord il y a eu une faille avec IE, mais on ne dit pas si ces fonctionnalités de cryptages et de paiements sécurisés existent avec d'autres navigateurs. Si elles existent, alors ces navigateurs se retrouvent eux aussi de temps en temps victimes de failles de sécurité. Et on ne me dira pas qu'ils les corrigent plus rapidement que Microsoft qui a mis moins de 24h.
Simplement, on fait plus de médiatisation quand c'est une faille IE que lorsque c'est une faille Mozilla ou Opera.
Par TheYoMan / Ze Iomane le 30/8/2002 Ã 17:31:10 (#2062339)
Provient du message de Lumina
Et on ne me dira pas qu'ils les corrigent plus rapidement que Microsoft qui a mis moins de 24h.
:eek: :eek: :eek:
Heu.... c'est dans toutes les versions de Windows utilisant les certificats....
A mon idee, il a plus de 24h que windows utilise c'est certificats infaillibles :rolleyes:
Combien on fait des transactions en pensant etre totalement securisé ?.... A mon avis plusieurs million de transactions depuis plusieurs années....
Le moyen d'être sauf, c'est de ne pas se croire en sécurité.
Ecrivain anglais [ Thomas Fuller ]
Par Lumina le 30/8/2002 Ã 18:09:39 (#2062569)
Par Lemuel le 30/8/2002 Ã 19:02:27 (#2062885)
c'est là que sont aussi les failles de sécurité... :D
Par TheYoMan / Ze Iomane le 30/8/2002 Ã 19:07:09 (#2062911)
Provient du message de Lumina
Et par curiosité, quelle technique utilisent les autres navigateurs pour être infaillibles au niveau des certificats ?
Et par curiosite, quel OS (ou meme quel navigateur ) se vante d'etre securise pour les transaction en ligne ???
C'est bine connu... ce sont ceux qui en parle le moins qui en font le plus.... :rolleyes:
PS : Je suis utilisateur de Windows et IE ;)
S'il faut se vanter, c'est de ma faiblesse que je me vanterait.
Apôtre [ Saint Paul ]
Par Lemuel le 30/8/2002 Ã 19:14:25 (#2062953)
Provient du message de TheYoMan / Ze Iomane
PS : Je suis utilisateur de Windows et IE ;)
BIIIIIIIPPPPPP BIIIIIIIPPPPPP BIIIIIIIIIPPPPPP
C'est là qu'est l'erreur :maboule: :maboule: :maboule:
Hey, je rigole, j'utilise aussi Windows ... et si j'utilise Mozilla, c'est surtout pour des raisons pratiques plutôt que pour les failles de sécurité
:ange:
Par Norah le 30/8/2002 Ã 19:31:46 (#2063067)
Moi je le dis haut et fort ! j'utilise IE et Windows xp et j'en suis fier ah ah :mdr: :mdr:
Par TheYoMan / Ze Iomane le 30/8/2002 Ã 19:50:30 (#2063179)
Provient du message de Norah
les Windows xx et IE xx sont des OS super utilisés, super connus, super médiatisés, et dès qu'il y a une faille, hop on en fait tout un plat.
ben normal... on va pas faire toute une histoire pour une faille existant dans un logiciel utilisé par 2 pelés et 3 tondus :p
de toute facon... je passe meme pas les correctifs :maboule: Provient du message de Lemuel
BIIIIIIIPPPPPP BIIIIIIIPPPPPP
Tiens ... J'ai connus quelqu'un qui sappelait comme ca dans le temps :p ;)
La tâche à laquelle nous devons nous atteler, ce n'est pas de parvenir à la sécurité, c'est d'arriver à tolérer l'insécurité.
Psychanalyste américain d'origine allemande [ Erich Fromm ]
Par Lemuel le 30/8/2002 Ã 20:00:28 (#2063253)
Provient du message de TheYoMan / Ze Iomane
Tiens ... J'ai connus quelqu'un qui sappelait comme ca dans le temps :p ;)
Ah? qui donc? :rolleyes: :rolleyes: :rolleyes: ?
Moi???
Meuhhhhhh non :ange:
d'ailleurs je me demande si je vais pas rechanger
Par - Sargamatas - le 30/8/2002 Ã 20:29:19 (#2063470)
Provient du message de Norah
/agree avec Lumina, les Windows xx et IE xx sont des OS super utilisés, super connus, super médiatisés, et dès qu'il y a une faille, hop on en fait tout un plat.
Moi je le dis haut et fort ! j'utilise IE et Windows xp et j'en suis fier ah ah :mdr: :mdr:
Bah generalement on va chercher les failles dans ce qui se vends beaucoup.
Je prends par exemple la signature de Mind.
Failles IE: 18, Failles Mozilla: 0
Sachant que IE est utilisé par une majorité, les gen vont rechercher les failles la. Que ce soit les hackers (pour pouvoir emmerder plus de monde) ou les anti-hackers (pour mieux vendre).
Ce qui vaut pour l'informatique vaut pour tout.
Exemple: mercedes Classe A.
On a fait tout un plat parce que cette bagnole se retournait se retournait quadn on prenait les virages commes des boeufs.
Si on faisait le meme test avec une R5 a mon avis le resultat aurai été le meme. Mais forcement c'est plus facile de montrer les erreurs d'un des plus grands constructeurs automobiles.
Et il ne faut pas non plus oublier l'anti-microsoft moyen. A mon avis y'a pas mal de gens qui cherchent tout les problemes dans les produits Microsoft que dans les autres OS.
[grumbbl de messages qui partent tout seul :p ]
Par M-V Anovel le 30/8/2002 Ã 22:29:22 (#2064179)
peut-être que mozilla ne possède aucune faille de sécurité, le code source est disponible aussi, cela faciliterait considérablement le travail des hackers...
bref, peut-être que si mozilla se vante de sa sécurité, c'est qu'il a vérifié ?
Mind répond-nous, éclaire cette question au risque de perdre des adeptes
:aide:
Par Norah le 30/8/2002 Ã 22:47:33 (#2064258)
Provient du message de M-V Anovel
qu'est ce qui prouve que cela est dû à la médiatisation ?
peut-être que mozilla ne possède aucune faille de sécurité, le code source est disponible aussi, cela faciliterait considérablement le travail des hackers...
bref, peut-être que si mozilla se vante de sa sécurité, c'est qu'il a vérifié ?
Mind répond-nous, éclaire cette question au risque de perdre des adeptes
:aide:
La vérité est ailleur ... cherche pas :mdr:
Par Mind le 30/8/2002 Ã 23:26:54 (#2064525)
Je prends par exemple la signature de Mind.
Failles IE: 18, Failles Mozilla: 0
Sachant que IE est utilisé par une majorité, les gen vont rechercher les failles la. Que ce soit les hackers (pour pouvoir emmerder plus de monde) ou les anti-hackers (pour mieux vendre).
Attention, je parle des failles de sécurité connues et NON-CORRIGES.
Pas des failles de sécurité tout court.
Ca montre juste que MS, malgrès leur moyens financiers énormes, ne se foulent pas des masses côté sécurité alors que pourtant des failles importantes sont connues de longue date.
Ca ne montre pas qu'un logiciel a moins de failles que l'autre dans l'absolu (ça c'est très difficile à déterminé pour les raisons évoqués dans ce fil).
Mozilla a moins de moyens qu'IE mais considère avec plus de sérieux la sécurité. Ca ne veut pas pour autant dire que Mozilla ne contient pas de faille. Ca veut juste dire que Mozilla a été codé avec la sécurité à l'esprit et que si une faille est découverte elle sera corrigée. C'est d'ailleurs à cause d'une faille de sécurité que la sortie de Mozilla 1.1 a été repoussée d'une semaine alors que tout était prêt pour son lancement.
Par M-V Anovel le 30/8/2002 Ã 23:29:05 (#2064535)
Je veux le même titre !
On a écrit ( Lwevin Myan par exemple dont je me souviens ) que le nombre d'erreurs augmentent exponentiellement avec celui de nombre de lignes ?
Est-ce vrai ? :confus:
Par - Sargamatas - le 31/8/2002 Ã 0:52:57 (#2064965)
Provient du message de M-V Anovel
On a écrit ( Lwevin Myan par exemple dont je me souviens ) que le nombre d'erreurs augmentent exponentiellement avec celui de nombre de lignes ?
Faudrait que je scanne mes cours la dessus d'ailleurs tiens, si jamais ca t'interesse (et que j'arrive a remettre la main dessus :D )
Mais la theorie est verifié. y'a aussi un certain nombre de lignes a partir duquel il est quasiment impossible de corriger tout les bugs (enfin c'est possible mais il faudrait un nombre d'années vraiment trop importants)
Sinon merci de l'explication Mind, j'avait du mal comprendre la signature ;)
JOL Archives 1.0.1
@ JOL / JeuxOnLine