[FSFE PR][FR] Windows 7 va nuire à ses consommateurs avec un problème de sécurité connu

Free Software Foundation Europe press at fsfeurope.org
Tue Oct 20 16:41:57 CEST 2009 

= Windows 7 va nuire à ses consommateurs avec un problème de sécurité connu =

[Permanent URL: http://www.fsfe.org/news/2009/news-20091019-01.fr.html ]

19 Octobre 2009, 13:30 CEST, Berlin, Allemagne

  Le dernier système d'exploitation de Microsoft, Windows 7, est
  actuellement livré avec un défaut potentiellement grave. Avant la
  sortie mondiale du produit jeudi, l'agence fédérale de sécurité en TIC
  allemande (BSI) a émis un avertissement [1] à propos d'un risque élevé
  de vulnérabilité dans le protocole SMB2. Cette vulbérabilité peut être
  exploitée à travers le réseau pour éteindre un mettre à l'arrêt un
  ordinateur avec une attaque de déni de service (Denial of Service,
  DoS).

Cet incident illustre comment le logiciel propriétaire représente
souvent un risque de sécurité. « Seul Microsoft peut régler le problème.
Mais apparemment, ils ont fermé les yeux sur cette vulnérabilité depuis
un long moment, espérant que cela ne gâcherait pas le lancement des
ventes de Windows 7 dès jeudi » estime Karsten Gerloff, Président de la
Free Software Foundation Europe (FSFE).

Suivant des pratiques de divulgation responsables, la BSI n'a pas publié
de détails dans son annonce (traduite en français ci-après) le 6
octobre. Alors que c'est généralement une bonne stratégie de donner au
vendeur le temps de réparer les vulnérabilités avant de les annoncer
publiquement, il semblerait dans ce cas que la BSI devrait considérer de
publier tous les détails afin de mettre plus de pression sur Microsoft.
L'agence dit que la faille de sécurité affecte Windows 7 et Windows
Vista tant dans leurs version 32-bits que dans leurs versions 64-bits,
ainsi que Windows Server 2008.  Cette vulnérabilité est encore
différente d'une autre moins récente concernant SMB2 [2] pour laquelle
Microsoft a publié le patch MS09-050 en septembre.

Le Président de la FSFE, Karsten Gerloff, explique : « Les logiciels
de Microsoft enferme ses utilisateurs afin qu'ils soient bloquésmême
si la compagnie les expose à un risque de sécurité comme celui-ci en
toute connaissance de cause. Avec du Logiciel Libre comme GNU/Linux
 - que vous pouvez étudier, partager et améliorer - de nombreuses
entités indépendantes peuvent régler le problème. Les consommateurs
ne devraient pas avoir à encourager le comportement négligent de
Microsoft en achetant ses produits. Le Logiciel Libre offre une
alternative, et est disponible auprès de nombreux fournisseurs
indépendants. »

Microsoft n'a pas encore répondu à l'avertissement de la BSI. Il n'y a
aucun signe que la compagnie réussira à réparer la faille de sécurité
dans son système d'exploitation phare avant le lancement mondial de
Windows 7 ce jeudi. La vulnérabilité reste entière même après les patchs
apportés par Microsoft en octobre.

Les pratiques de la compagne en matière de sécurité ont longtemps été la
cause d'inquiétudes. Dans un incident récent [3], Microsoft avait
connaissance d'une autre vulnérabilité dans SMB2 depuis juillet 2009.
Alors que le problème était bien corrigé pour la version finale de
Windows 7 plus tôt en août, rien n'a été fait pour réparer le même
problème connu dans Windows Vista et Windows Server 2008 tant qu'un
chercheur indépendant en sécurité ne révèle publiquement cette faille.
Heise, site allemand dédié aux TIC, avance que le problème a terminé
chez Microsoft dans une liste interne de bugs peu prioritaires que la
compagnie tente de réparer silencieusement, afin d'éviter toute
publicité négative.


[1] https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201
[2] http://www.microsoft.com/technet/security/advisory/975497.mspx
[3] http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html


== Traduction du conseil de sécurité de la BSI : ==

Niveau de menace : "4 risque élevé" (sur une échelle de 1 à 5, 5
étant "très élevé").
Titre: Protocole Microsoft Windows SMB2: Une autre vulnérabilité
permet un déni de service (vulnérabilité de Windows Vista et
Windows 7).
Date: 2009-10-06
Logiciel : Microsoft Windows 7, Microsoft Windows 7 x64 Edition,
Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64
Edition / SP1 / SP2, Microsoft Windows Server 2008
Plateforme : Windows
Effet : Déni de service
Exploitable à distance: Oui
Risque : élevé
Référence : recherche interne
Description :

Server Message Block (SMB) est un protocle qui permet l'accès partagé
aux imprimantes et aux fichiers. SMB2 est la nouvelle version de ce
protocole, qui a été introduite avec Windows Vista et Windows Server
2008, et qui est aussi livré avec Windows 7. Les implémentations
actuelles de SMB2 sont affectées par cette vulnérabilité. Il s'agit
d'une nouvelle vulnérabilité, non de celle décrite dans Microsoft
Security Advisory 975497. Les systèmes d'exploitations mentionés peuvent
donc être attaqué même après l'installation des mises à jour du
Microsoft's October patchday (MS09-050).

Pour l'instant, il n'y a pas de mise à jour ni de patch mis à
disposition par l'éditeur. Les seules actions recommandées sont de
prendre connaissance et de suivre ces vulnérabilités. Pour contourner
cette vulnérabilité, il ne peut qu'être recommandé de limiter l'accès
via SMB2 à des serveurs connus avec des pare-feux, ou de désactiver le
service SMB2. 


== À propos de la Free Software Foundation Europe ==

  La Free Software Foundation Europe (FSFE - Fondation Européenne pour
  le Logiciel Libre) est une organisation non gouvernementale à but non
  lucratif, active dans de nombreux pays européens et impliquée dans de
  nombreuses activités internationales. L'accès au logiciel est
  déterminant dans la participation à la société  numérique. Afin
  d'assurer un accès égalitaire à l'ère de  l'information ainsi que la
  libre concurrence, la FSFE se dévoue au développement des Logiciels
  Libres, qui se caractérisent par les droits d'exécution, d'étude, de
  modification et de copie.  Sensibiliser le public à ces problèmes,
  sécuriser l'environnement politique et juridique du Logiciel Libre, et
  rendre la liberté aux personnes en soutenant le développement de
  Logiciels Libres sont les activités centrales de la FSFE depuis sa
  création en 2001.

  http://fsfe.org


== Contact ==

  Karsten Gerloff
  Président
  Free Software Foundation Europe
  e-mail: press at fsfeurope.org
  mobile: +49-176-96904298

More information about the Press-release-fr mailing list