Commentaires : Internet Explorer a une faille critique qui ne sera pas corrigée pour

sécurité
microsoft
windows
windowsxp
internetexplorer
Tags: #<Tag:0x00007f920b38b4a0> #<Tag:0x00007f920b38b360> #<Tag:0x00007f920b38b220> #<Tag:0x00007f920b38b0e0> #<Tag:0x00007f920b38afa0>

#21

Ce qui est irresponsable c’est qu’une entreprise utilise un OS daté de 14 ans.
Ce qui est irresponsable c’est que les services informatiques de certaines sociétés n’aient rien fait depuis la première annonce d’arrêt du support en décembre 2011, malgré la mise à disposition , à l’époque par Microsoft,de ressources techniques, d’outils et de conseils pour préparer la migration.
Et a fortiori, quand l’entreprise est dans un domaine aussi sensible que la banque, c’est d’autant plus irresponsable.
Je ne vais pas refaire le laius que j’ai dejà fait dans un autre post a propos du concept du support dans une société de développement (travaillant moi-même dans l’une d’entre elles), mais même si on peut reprocher enormement de choses à Microsoft, ils ont été très clairs sur la maintenance XP.

En entreprise, le seul garant de la sécurité et de l’intégrité des données est le responsable IT. C’est à lui de s’assurer que son système est fiable, pérenne, et intègre. Et c’est à lui de prendre toutes les mesures nécessaires pour y parvenir.


#22

IE8 date de mars 2009, il a donc un peu plus de 5 ans. Pour tous ceux qui ont accepté le CLUF de Windows XP ou IE, il ne risque pas d’y avoir un litige, puisque Microsoft a fixé les “saines” bases des contrats avec leurs clients. Si on résume le CLUF, Microsoft ne prend aucune responsabilité et l’utilisateur n’a aucun droit, ni sur le logiciel, ni sur ce qu’il installe par dessus ou sur les données qui sont dedans.

Pour ceux qui veulent relire le magnifique contrat qu’ils ont accepté en installant ce logiciel privateur:
http://non.aux.racketiciels.info/documentation/cluf/windows-xp-familial


#23

pardon ? en 2000 tu crois que l’humanité était trop stupide pour ne pas y avoir pensé ? pour info c’est pourtant le principe fondateur d’Unix datant de 1969 …

au passage aussi, les droits Utilisateur, ils ont mis combien de temps à comprendre ce concept des années 60’s chez microsoft ?


#24

c'est completement idiot, la probabilité réelle d'être victime de cette attaque est infime et des gens vont mettre à genou leur ordi en l'upgradant ou vont même carrèment le jeter ...

NE FAITES RIEN !

il est beaucoup plus probable de niquer son ordi en le modifiant soi-même qu'en subissant une attaque !


#25

idem j'ai un XP SP2 sans aucune maj depuis sa sortie... aucun problème.

en entreprise c'est windows tout court qui est suicidaire, tous les logiciels sérieux d'entreprise existent en Unix ...


#26

Ce n'est jamais moi qui clique sur "J'accepte".


#27

@ MadMax Memnoch & co

C'est pas comme sije ne m'attendais pas à ce type de réactions.

Vous vous placez sur le plan d'une certaine "morale informatique", traduisant ce qui aurais-dû être fait depuis bien longtemps de la part des différents acteurs, dont les utilisateurs en bout de chaîne, et de ce strict point de vue je suis d'accord avec vous.

Sauf que concrètement, ça ne sert strictement à trien.

Car nous n'en sommes plus au temps où il servait à quelque chose de décrire ce qui aurait dû êtree fait. Nous sommes dans une situation ou 30% du parc mondial des PC est non sécurisé, où cela risque de ne pas de changer de manière importante avant "un certain temps" (au sens de F. Raynaud), et même de se reproduire dans quelques années avec seven.

Dans ce type de situation, soit choisit un moyen qui garantisse le passage rapide à XP d'une grosse majorité de ceux qui l'utilisent encore, soit on continue de sécuriser XP. Soit on fait les 2 en même temps. Dans tous les cas, il ne sert strictement à rien de se perdre en imprécations à l'égard du manque d'hygiène informatique des encore utilisateurs d'XP, car ça ne va pas améliorer d'un iota la sécurité glogale. Ce qu'il faut, c'est de choisir quoi faire au mieux dans une situation dégradée donnée, et ensuite le faire effectivement.

Voilà pourquoi je propose la multinationalisation d'XP, Microsoft administrant désormains la preuve qu'il n'est plus en état d'en maintenir une version sécurisée à un coût raisonnable.

Vous noterez que c'est de cette voie dont s'inspire la Chine, que le mot "nationalisation" effraie moins que nous autres petites choses fragiles, et qui a dû mesurer depuis bien longtemps, tant l'inanité du message imprécateur, que la faible probabilité d'obtenir de ses utilisateurs un abandon massif et rapide d'XP.


#28

Je ne pige pas tout ce que tu veux dire :

“vont mettre à genou leur ordi en l’upgradant” <= upgrader veut dire que tu le remet à niveau (+de RAM nouveau CPU, nouveau DD…) donc qu’il est sensé mieux fonctionner, ce qui est contraire de mettre à genoux…

" en le modifiant soi-même" <= tu veux dire que les gens ont vouloir coder leur propre mise à jour windows ?

Si quelqu’un subit un telle attaque pour 90% des personnes touchés la façon la façon la plus simple de revenir à la normale sera de formater la machine et de tout réinstallé, mais si c’est XP qui est réinstallé l’ordinateur pourra de nouveau être victime de la même attaque.

Aujourd’hui les failles connues sont peu nombreuses, il est encore possible de ne pas se faire hacker sa machine juste en se connectant à internet si toutes la mises à jour sont installées, mais dans 1 an ça ne sera plus le cas !


#29

si tu est derrière une box/routeur ça limite la casse. Perso j'ai une un simple modem câble pendant un temps (donc IP de la machine directement visible sur le net) avec ma machine en XP, j'avais intérêt à mettre les mise à jour, sinon en laissant la machine tourner h24, il m'est arrivé de rentrer chez moi le soir et dans la liste des lignes de commandes récemment exécutés dans le menu démarré->exécute... il y avait de chose suspectes que je n'avais pas lancé (genre modification de clef de BDR modifiant des DNS ou enregistrant des paramètre douteux.
La 1 ère fois qu'on vois ça on se pose des questions .... Et je pense qu'un utilisateur lambda ne l'aurais jamais remarqué


#30

La Chine est en première ligne face à ce problème: c’est le pays qui a le parc Windows XP en service le plus important au monde, et cela concerne directement ses administrations et entreprises.

La Chine est un état qui comme d’autres, dispose du code source de Windows. Ils n’ont pas décidé de “nationaliser” Microsoft ou Windows XP, mais de concevoir eux-même des correctifs. Je suis impatient de voir quand ils vont corriger, faire connaître, et déployer auprès de leurs administrations le correctif qui va combler cette faille (et leur manière de le distribuer hors du classique “Windows Update”). Je suis également impatient de voir quand les banques et administrations des pays qui paient Microsoft pour un support à la carte vont pouvoir combler cette faille. En attendant, la “sécurité globale” n’est pas améliorée, et les rares patchs qui seront peut-être conçus seront réservés à un petit nombre d’utilisateurs.

“La multinationalisation d’XP”, je ne vois pas vraiment ce que cela apporte. En France, est-ce tu demanderais à l’ANSSI de développer des correctifs pour Windows XP aux frais des contribuables ?


#31

Ils n’ont pas décidé de “nationaliser” Microsoft ou Windows XP, mais de concevoir eux-même des correctifs.

Ce qui revient strictement au même, mais sans avoir à employer officiellement les mots qui défrisent.

Si plusieurs pays se décident à concevoir et déployer eux mêmes des correctifs de sécurité, le mouvement suivant sera, par souci d’optimisation des ressources, de mutualiser ces conceptions et déploiements, ce qui reviendra à une multinationalisation de XP.

En France, est-ce tu demanderais à l’ANSSI de développer des correctifs pour Windows XP aux frais des contribuables ?

Ce serait un début. Mais un début seulement. Car la multinationalisation que je soutiens implique la mise en commun des frais de recherche et de déploiement de corrections des failles de sécurité au niveau international, justement par souci d’efficience économique et de minimisation des coûts. Ce que la multinationalisation apporte, c’est justement que chaque pays n’ait pas, indépendamment les uns des autres et chacun dans son coin, à déployer des ressources pour réinventer X fois l’eau chaude.

Pour le reste, je pense sans avoir à chausser les lourdes bésicles de Nostradamus que, si l’on reste dans la situation en l’état, le contribuable (ou le consommateur) dont tu te soucies de la santé monétaire, aura bien davantage à être mis à contribution lorsqu’il faudra réparer les dégats récurrents causés par un parc informatique mondial constitué de botnets à 10, 15 ou 20%.


#32

En gros, quand tu as fait quelque chose qui a super bien fonctionné. Que tu as fait qu’un maximum de monde soit dépendant de ton système, que tu l’a integré dans leur vies au maximum de tes possibilité, quitte a contourner la loi. Bin quand tu décide de ne plus faire de support pour ce que tu a crée, cela reviens a l’abandonner. De fait.

Jiang n’a pas tort, mais j’irais plus loin, il faut libérer le code source d’xp. Cela pourrait s’étendre a de nombreuses choses dans les débat sur les brevets et le copyright d’ailleurs.


#33

Jiang, je comprend ton point de vue. Et , même si je pense que c'est beau sur le papier, cela reste inapplicable.
J'insiste peut etre, mais il faut se poser la question du pourquoi on en est arrivé là. Pourquoi 30% du parc info est non sécurisé.
J'ai jeté la pierre sur les services IT des entreprises. Mais pourquoi ont-ils pris autant de retard (ou juste rien fait) concernant leurs mise à jours et migrations ?
Tout simplement parceque dans les PME (je pense que c'est la majeur partie du parc resté sous XP, hormis les banques et administrations) le budget informatique est un des plus petits budget de l'entreprise. "Pourquoi changer alors que pour l'instant ca marche ? on verra plus tard." Sauf qu'en informatique, plus tard est souvent synonyme de trop tard, et de couts exponentiels fonctions du délai de retard.

Tu essaie de soigner la maladie, j'essaie de la prévenir : et c'est au niveau micro-économique que cela peut se jouer.
Et ce n'est pas en patchant un OS de 14 ans, quand bien même serait-il devenu open, que cela fera évoluer les meurs : je te prédit qu'aux alentours de 2020 nous allons avoir la même discussion à propos de Windows 7 si les entreprises ne changent pas leur comportement avec l'informatique.


#34

Merci


#35

Le "machin vieux de 14 ans" il était encore vendu en 2009 avec les netbooks.


#36

De toute façon qui utilise encore IE8 ? cette merde était déjà inutilisable à son époque et à l'heure actuelle avec les nouvelles technologies du web ça l'est encore moins


#37

Il y a des grands groupes qui l’utilisent encore… IE8 est le dernier IE compatible avec Windows XP. Lorsqu’un système d’information d’une entreprise ressemble à un bidonville, et qu’une DSI impose une bouse de ce genre qui doit même coexister à côté d’un IE6 emballé dans du VMware, cela donne un petit aperçu de la misère ambiante et de l’incompétence des services chargés de maintenir le parc de logiciels.


#38

Mutualiser les efforts ? Utiliser des licences libres pour pouvoir réutiliser un travail partagé qu’on peut sans cesse améliorer ? Cela existe déjà sur tous les logiciels libres, et celui qui se rapproche le plus de Windows XP, c’est ici:
https://www.reactos.org/fr

Mais comme tu peux le constater, ça n’intéresse pas grand monde. Les gens et gouvernements préfèrent donner beaucoup de plaisir aux actionnaires de Microsoft et payer des contrats humiliants, plutôt que d’investir dans des solutions beaucoup plus pérennes.


#39

Olà, tu t'emballes, jeune. Il y a surtout une ribambelle de SSII, boîtes et prestataires de services qui facturent les mises à jour de leurs applis web, voire ne les mettent pas à jour pour pousser à l'adoption d'un marché pour un autre produit (et ça se chiffre au minimum en millions).
Tu en parleras aux sympathiques garçons qui déploient [email protected], HR Access, ou Business Objects.


#40

Le business des logiciels privateurs… c’est toujours le même mode opératoire, et tôt ou tard, le client est coincé, ou alors il a les moyens de payer une fortune pour pas grand chose.

Toutes mes condoléances aux clients qui subissent les “solutions” que tu cites.