Categories

A sample text widget

Etiam pulvinar consectetur dolor sed malesuada. Ut convallis euismod dolor nec pretium. Nunc ut tristique massa.

Nam sodales mi vitae dolor ullamcorper et vulputate enim accumsan. Morbi orci magna, tincidunt vitae molestie nec, molestie at mi. Nulla nulla lorem, suscipit in posuere in, interdum non magna.

Les mises à jour de sécurité fait par des tiers

Même si ce n’est pas complètement d’actualité il y a fort à parier que ce genre d’initiative ne devienne de plus en plus répandu dans le cas de trous de sécurités béants et pour lesquels le fabricant officiel du logiciel ne prend pas de dispositions rapides.
On peut spécifiquement viser Microsoft avec sa politique du mardi unique chaque mois de mises à jours et donc du temps que prend la mise à disposition de patchs pour certains problèmes même si exceptionnellement ils ont parfois des mises à jour en cours de mois.

C’est en tout cas sur ce constat et sur le fait que le patch ne venait pas qu’un groupe s’est formé pour offrir une solution à un trou de sécurité appelé 0day parce que généralement ces trous une fois publiquement mis à la lumière génèrent des attaques par des personnes malveillantes dans le jour qui suit.
Le problème en question était une vulnérabilité dans le Vector Markup Language (VML) pour lequel Microsoft avait sorti un bulletin de sécurité le 26 Septembre. Bulletin visible ici pour y trouver l’historique du problème et le correctif à celui ci.
Ce groupe s’est donc formé pour répondre à ces problèmes urgents, nommés la ZERT pour ZERODAY EMERGENCY RESPONSE TEAM – Equipe d’intervention d’urgence des 0Days, ils ont sortis un outil permettant de répondre au problème dans l’attente d’un correctif officiel de la part de Microsoft.
De plus ils ont mis à disposition cet outil qui fonctionne sur les versions de Windows qui ne sont plus maintenus par Microsoft comme la version 98 du système ou 2000 par exemple.
Le site de cette équipe d’intervention d’urgence est disponible à cette adresse.
Vous y trouverez l’outil en question dénommé ZProtector qui ne patche pas réellement le système et ne pose aucun problème avec les patchs officiels lorsqu’ils sortent.
D’ailleurs il a été mis à jour pour un problème le 6 Octobre qui depuis a eu lui aussi droit à un patch officiel de la part de Microsoft.
Ce problème a aussi eu droit à un traitement de la part d’une société (Determina) dont le site est ici.
Tendant à prouver que ce genre de problèmes risquant de devenir de plus en plus fréquents, et que les sociétés officielles demandant parfois du temps pour tester et mettre à disposition leurs patchs correctifs, il y a de la place pour ces patchs non officiels qui répondent à un besoin de la part de l’utilisateur.
Oui mais peut on faire confiance à ces mises à jour, concernant la sécurité justement est il concevable de mettre entre les mains de groupes ou entreprises tierces la sécurité et l’intégrité d’un système.
Et même si les patchs en question ne touchent pas aux fichiers originaux leur installation est déjà une intrusion dans le système qui utilisée par des personnes malveillantes peut être pire que le mal.
Alors faut-il espérer que le trou de sécurité ne sera pas la cible d’attaques ou risquer ces patchs quitte à se trouver dans des situations inconfortables.
Voilà en tout cas une problématique qui est nouvelle pour les systèmes Windows et qui pose de vrai questions, il faut tout de même reconnaitre que l’initiative est à destination des utilisateurs finaux pour une fois et qu’elle prend en compte leurs besoins ce qui est remarquable en soit.

Venez réagir sur le forum