Microsoft accuse les sociétés de sécurité d'aider les pirates

Le par  |  20 commentaire(s)

Microsoft a violemment critiqué les chercheurs en sécurité pour avoir publié une faille dans son logiciel de messagerie MSN Messenger.

Microsoft a violemment critiqué les chercheurs en sécurité pour avoir publié une faille dans son logiciel de messagerie MSN Messenger.

Dans un rapport, Microsoft a critiqué les sociétés Finjan Software et Core Security Technologies pour avoir publié un test permettant de tester la présence d'une faille affectant MSN Messenger, et ceci très peu de temps après que les patchs n'aient été disponibles.

Microsoft clame que ces tests ont permis de développer des attaques contre son logiciel. La rapport précise qu'il en résulte un risque accru pour les utilisateurs de Messenger et d'Office XP.

Finjan a en effet publié le code pour tester une vulnérabilité dans Office XP le même jour ou Microsoft proposait le patch, ce qui n'a pas, selon Microsoft, laissé suffisamment de temps aux utilisateurs pour mettre à jour leur système.


Concernant Core Security Technologies, ces derniers ont publié un moyen de tester une faille de MSN Messenger via le composant "libpng", Microsoft a également proposé le patch correctif dans des délais trés courts.

D'après Stephen Toulouse, du centre de sécurité de Microsoft, "les actions menées par des sociétés peuvent permettre à des pirates de lancer des attaques contre les utilisateurs des produits de Microsoft qui n'ont pas eu le temps d'appliquer les mises à jour de sécurité". Nous sommes concernés parce que ces pirates peuvent prendre ces informations et les utiliser. A partir du moment ou vous disposez du code décrivant comment aller de A à B à C, il n'est pas très difficile d'aller à Z si c'est votre but".

Toulouse cite ainsi le ver Slammer, qui s'attaque aux serveurs de base de données SQL Server, comme un exemple de preuve que le code fourni par ces sociétés à permis de créer un ver très virulent.

Toulouse encourage donc ces sociétés à attendre avant de publier les failles découvertes, ajoutant  que 90 jours lui semble un délais raisonnable.


De son côté la société Core Security nie qu'elle ait fait quelque chose de mal, argumentant que le fait de publier des failles fait parti de son travail.
"Nous développons ces tests pour permettre aux utilisateurs de tester l'existence d'une faille, pas pour donner le contrôle à un pirate" explique Max Caceres, directeur à Core Security.




Source : TechWorld
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #33212
En France, la LEN interdit de chercher les failles d'un programme, de le cracker ou meme de la patcher (si le patch n'est pas officiel) !

LOL
Anonyme
Le - Editer #33214
C'est vari ça dire que les progs GrosSoft c'est de la daube c'est interdit car les gens vont le croire lol
Anonyme
Le #33216
Avec toi (phebus), de toute façons quoi que l'on dise: Tout est de la daube !

Il suffit de relire tes post pour avoir confirmation.

Tu es encore sur GNT toi '
Le #33227
quand une info ne vous plait pas. essayez d'eliminer celui qui l'annonce.

vieux principe qui marche toujours
(a court terme bien entendu)
Le #33234
je pense que personne est surpris des attaque de crosoft il devrait plutot ce concentrer a faire un produit fiable mais nan de toute façon ca leur rapporte pas asser de $$$$$$$$$$$$$$$$$ donc il font dla merde
Le #33238
Bah, d'un autre côté, ils ont pas tord, publier les infos ne sert pas le bon côté de la force (jeune jedi).
On peut annoncer une faille, le type mais de là à donner un source ou un bout de source, on se doute bien que ce sera utilisé par des pirates (enfin surtout ke kidy qui sont pas capables de trouver eux-mêmes des failles).
Personne n'est parfait et même si crosoft met du temps à corriger ces défaut, un délai d'un mois me parait normal, temps de mise en place de patch et temps pour les utilisateurs de les récupérer (faut quand même y penser, car c'est nous !).
Me faire véroler mon PC parce qu'une société à besoin d'un scoop pour faire parler d'elle me foutrait quand même les cake !
Lorsqu'ils disent que c'est pour tester une faille, c'est des conneries. Il suffit de connaitre le niveau de patch de son système pour avoir la réponse.
Mais bon... la guerre économique me fera toujours couler de l'encre.
Le #33242
Ils ont juste à s'arranger pour les trouver eux-memes leurs 1 000 000 failles si ils ne veulent pas de troubles.

Vraiment trop nul cette compagnie.
Anonyme
Le #33251
Au lieu de balancer comme des crétins sur le net les diverses failles qu'ils trouvent, ces sociétés, de soit disant sécurité, feraient mieux de ne prévenir QUE Microsoft ce qui éviterait pas mal d'emmerde.
Mais bon comme d'hab, ces abrutis ne sont là que pour critiquer et ne font que très rarement avancer le chmilblick.
Le #33253
(Oh un troll dans les comm!)

"permettre aux utilisateurs de tester l'existence d'une faille, pas pour donner le contrôle à un pirate": nous, hypocrites' Voyons, où allez-vous chercher cela'
Le #33256
Quand on sait que la plupart des virus exploitent des failles annoncées, objectivement, Microsoft n'a pas tort. D'ailleurs, il n'y a pas si longtemps de ça, Secunia annonçait divers faille d'IE et avait clairement indiqué qu'ils ne coopéreraient pas avec MS pour corriger les failles en question...

Enfin, c'est aussi grâce à MS que ces sociétés peuvent survivre, elles peuvent vendre leur logiciel de sécurité en profitant des failles d'un logiciel...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]