pascals.blog : Opinion

La perle du week-end

pascals — Sat, 24 Oct 2009 22:41:45 GMT

Depuis que nos politiques s’intéressent à l’informatique et à l’internet, le spectacle est plutôt amusant. Mais lorsque la politique rejoint l’éducation, là, on rigole franchement. Voici donc ce que j’ai découvert aujourd’hui... Je n’en reviens toujours pas.

Dans ma lointaine banlieue, des élèves de Seconde ont reçu dans leur lycée un cadeau de la région Île de France, sous la forme d’une magnifique boîte métallique à leur logo abritant une clé USB de 2 Go et un porte-clés, accompagnés de cette carte :

Cette clé, éditée par la société Mostick, est un “bureau mobile” : elle contient des applications en versions “portables”, exécutables sur place sans installation et sans laisser de trace sur le PC. Principe intéressant : l’utilisateur a ses applications et ses données dans sa poche, et peut y accéder sur tout PC.

Mais la dernière phrase de la carte laisse songeur : “Si vous utilisez VISTA, AUTORISEZ l’exécution des programmes”. On peut craindre le pire, et en effet, un rapide test le démontre :

Le programme start.exe dans la racine de la clé nécessite les privilèges d’administrateur :

Ce programme n’est pas signé : on doit autoriser un programme d’origine inconnue à s’exécuter avec tous les droits sur le système.

Tous les programmes qui seront à leur tour exécutés par start.exe hériteront du même contexte, donc des mêmes privilèges.

Mais ils ne s’arrêtent pas là, puisqu’ils incluent une version vulnérable de Firefox, la version 3.5.1.

Au final, nous avons affaire à un système qui nécessite que les adolescents aillent sur Internet avec tous les privilèges d’administrateur et des applications vulnérables... Bravo ! Je suppose que les auteurs exécutent Firefox 3.5.1 en tant que root sous Linux.

La société Mostick écrit dans son petit texte de présentation, qui ne manque pas d’humour : “un contenu socialement responsable issu de l’informatique éthique”. Puis “des logiciels stables, compatibles, ergonomiques et sécures”. J’en reste coi.

Logiciels non désirés d’Apple, toujours et encore

pascals — Mon, 28 Sep 2009 10:03:09 GMT

Ce n’est pas nouveau : Apple se fait une spécialité d’installer ce qui les chantent sur tous les PC équipés d’iTunes. N’oublions pas que l’immense majorité des possesseurs d’iPods et d’iPhones sont en fait des utilisateurs de Windows, et sont condamnés à iTunes. Ce matin cet article m’a fait bondir : les PC équipés d’iTunes, même installé de façon minimale, se voient proposer par défaut l’installation d’un utilitaire de configuration d’iPhone. Outil d’entreprise qui inclut le serveur Apache !

Il s’agit de l’outil permettant de configurer un iPhone pour l’utilisation du protocole Exchange ActiveSync. Outil nécessaire (bien que d’une conception étrange, embarquant un serveur web), mais uniquement pour les possesseurs d’iPhones et ayant besoin d’une connexion sécurisée à Exchange. Ce qui ne court pas les rues parmi les utilisateurs d’iTunes sous Windows.

Décidemment, les choses ne changent pas.

Mise au point sur MS08-067

pascals — Sun, 26 Oct 2008 02:32:43 GMT

La publication cette semaine d'une mise à jour de sécurité particulière a donné lieu à tant de questions et commentaires -et ce n'est pas terminé- que cela mérite quelques éclaircissements et mises au point.

Deux questions reviennent le plus souvent, et représentent les vraies préoccupations de nos clients :

Quel est l'urgence d'appliquer la mise à jour ?
Comment protéger mes systèmes sous NT4, Windows 2000 SP3, Windows XP SP1 ?

Une chose intéressante à constater est que la plupart des questions trouvent leur réponse dans le bulletin de sécurité lui-même. Le niveau de gravité y est précisé :

Il s'agit d'une mise à jour de sécurité de niveau « critique » pour toutes les éditions prises en charge de Windows 2000, Windows XP, Windows Server 2003 et de niveau « important » pour toutes les éditions prises en charge de Windows Vista et Windows Server 2008.

Le bulletin décrit également la nature de la vulnérabilité (exécution de code, prise de contrôle à distance par RPC), les facteurs d'atténuation (le pare-feu par défaut, l'authentification nécessaire pour Vista et Server 2008), ainsi que des méthodes de contournement (désactiver le service Serveur, bloquer l'UUID RPC concerné, bloquer les ports 139 et 445). Cela permet de se faire son idée sur l'urgence de la mise à jour en fonction de son propre environnement.

Par exemple, un serveur web IIS, sur lequel le pare-feu local n'autoriserait que les ports 80 et 443 en entrée et le port SQL 1433 en sortie vers le serveur SQL en back-end, ne serait pas vulnérable et sa mise à jour pourrait attendre un arrêt planifié. Par contre, les systèmes Windows sur le réseau interne de l'entreprise, dans lequel (1) l'authentification des communications est "naturelle" dans le domaine, et (2) les ports 139 et 445 sont ouverts dans les pare-feu locaux par stratégie de groupe pour les besoins quotidiens de partage et d'administration, la mise à jour de TOUS les systèmes est impérative et extrêmement urgente.

Sans tomber dans la paranoïa, il faut également savoir que les spécialistes n'ont eu besoin que de quelques heures pour écrire des exploits après la publication de la vulnérabilité. Ces exploits sont donc dans la nature depuis maintenant plusieurs jours.

À la première question, la réponse est donc clairement : à vous de juger avec les éléments disponibles, mais le plus rapidement est le mieux --le délai est à compter en jours, certainement pas en semaines.

À propos de la deuxième question concernant les versions de Windows qui ne sont plus supportées, voici ce qui est indiqué dans le bulletin :

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a soit atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Le Microsoft Support Lifecycle Blog a également un article suite à MS08-067 pour préciser les conditions de support des produits.

Aujourd'hui, les versions de Windows bénéficiant de mises à jour de sécurité sont les suivantes (détails) :

Windows 2000 SP4 : disponibilité générale le 26/6/2003, supporté jusqu'à 24 mois après la sortie du prochain Service Pack, ou la fin du support du produit (13/7/2010)
Windows XP SP2 : disponibilité générale le 17/9/2004, supporté jusqu'au 13/7/2010
Windows XP SP3 : disponibilité générale le 21/4/2008, supporté jusqu'à 24 mois après la sortie du prochain Service Pack, ou la fin du support du produit (8/4/2014)
Windows Server 2003 SP1 : disponibilité générale le 30/3/2005, supporté jusqu'au 14 avril 2009.
Windows Server 2003 SP2 : disponibilité générale le 13/3/2007, supporté jusqu'à 24 mois après la sortie du prochain Service Pack, ou la fin de support du produit (14/7/2015)
Windows Vista, disponibilité générale le 25/1/2007, supporté jusqu'au 13/4/2010
Windows Vista SP1 : disponibilité générale le 4/2/2008, supporté jusqu'à 24 mois après la sortie du prochain Service Pack ou la fin de support du produit (11/4/2017) -- si un nouveau Service Pack est publié en 2009, Windows Vista SP1 sera supporté jusqu'en 2011.
Windows Server 2008 : disponibilité générale le 6/5/2008, supporté jusqu'à 24 mois après la sortie du prochain Service Pack ou la fin de support du produit (10/7/2018) -- si un nouveau Service Pack est publié en 2009, Windows Server 2008 sera supporté jusqu'en 2011.

Alors, que faire des Windows non supportés, vulnérables et sans mise à jour ? La question est non seulement légitime, mais particulièrement douloureuse. Et malheureusement, il n'y a pas de solution miracle à cette situation. Ce n'est d'ailleurs pas la première fois que ce problème est soulevé, comme MS06-040 en était un exemple il y a deux ans, sur une vulnérabilité très similaire.

Dans un monde idéal, la question ne se poserait pas, les évolutions de version se faisant en dehors des périodes de crise, régulièrement, avec la sérénité qui convient à ces opérations maintes fois répétées : avec 6 Service Packs pour Windows NT 4.0, 4 pour Windows 2000, 3 pour Windows XP, 2 pour Windows Server 2003 et un pour Windows Vista, on pourrait penser qu'une telle évolution est monnaie courante. La réalité est beaucoup plus rude, quelles qu'en soient les raisons.

Il est intéressant de réaliser que cette crise est l'occasion d'un retour à la réalité à la fois pour Microsoft (tout le monde ne suit pas les versions au rythme de leur sortie) et pour ses clients (suivre les versions est utile, notamment en cas de crise de ce genre). Et en cela elle aura des effets positifs.

Cela dit, pratiquement, que fait-on ? Il n'y a malheureusement pas de réponse satisfaisante à la question des versions non supportées de Windows. Sans mise à jour, il faut chercher le bon mélange des différentes solutions de contournement qui peuvent exister, parmi lesquelles :

Désactiver le service Serveur (*)
Bloquer localement les ports 139 et 445 (possible même sur NT4 dans les paramètres TCP/IP) (*)
Segmenter le réseau et bloquer les ports 139 et 445 au niveau de routeurs filtrants (*)
Installer un système d'IPS réseau et tenir à jour ses signatures en fonction de l'évolution des exploits et menaces (**)
Migrer au plus vite tous les systèmes périmés et se focaliser sur les dysfonctionnement et incompatibilités

(*) Ces solutions ont un impact fort sur les fonctionnalités réseau.

(**) Ce type de solution a l'inconvénient de procurer un faux sentiment de sécurité, et de retarder les migrations et mises à jour nécessaires des systèmes.

La dernière solution est bien sûr extrême, mais présente à mes yeux un mérite : elle permet de concentrer ses efforts sur une action positive, à savoir faire fonctionner les applications sur un environnement supporté, plutôt que de perdre du temps sur un problème insoluble qui, même résolu, aboutirait toujours sur une situation intenable. Mais ce n'est que mon avis personnel.

Crapware, version 2008

pascals — Tue, 07 Oct 2008 19:51:36 GMT

OK, soit ça énerve, soit ça amuse.. ça dépend des jours :-). Donc, il y a presque un an, j'évoquais les logiciels indésirables préinstallés sur les machines neuves. Un peu plus tard c'était au tour des logiciels indésirables attachés aux logiciels que l'on installe, ici et ici. Il faut croire que rien ne change, et qu'il n'y a pas de limite au ridicule. Heureusement que, comme dirait l'autre, "ce n'est que de l'informatique" :

Voir la liste incroyable des logiciels inclus avec iTunes pour Windows : http://blogs.zdnet.com/Bott/?p=554. A mon avis ils font exprès pour nous inciter à acheter un Mac pour aller avec l'iPod...

Voir également la nouveauté chez Dell : http://community.winsupersite.com/blogs/paul/archive/2008/10/07/why-people-hate-buying-pcs-part-37.aspx. Après les logiciels non désirés, les films ! En l'occurrence, le film n'est ni imposé ni dissimulé, mais avouez que c'est cocasse.

Tout ceci est extrêmement divertissant, mais je ne saurais trop recommander aux utilisateurs à la maison de se renseigner avant d'installer tout nouveau logiciel ; voire, si vous avez Virtual PC et une licence de Windows supplémentaire, de commencer par tester son installation et son "empreinte" dans une machine virtuelle.