Internet | Telecom
Faille WMF : pourquoi Microsoft a tardé à fournir un correctif
Auteur : Christophe Guillemin
Du : 10/01/2006
Corriger la faille à l’occasion de son patch mensuel ou fournir un correctif en urgence, Microsoft a hésité. En optant pour la seconde solution, l’éditeur affirme avoir voulu rassurer les utilisateurs face à une menace qu’il juge surmédiatisée.
La faille critique décelée le 28 décembre dernier dans Windows, au niveau du traitement des images WMF (Windows Meta File), n'a été corrigée que le 5 janvier par Microsoft, qui a confié à ZDNet.fr qu'il n'intégrera pas ce correctif dans son patch mensuel publié ce mardi 10 janvier.
Pourquoi l'éditeur a-t-il tardé à corrigé cette faille qu'il a jugée critique, puis publié un patch en urgence ? « Nous avons décidé de publier un correctif pour répondre à l'inquiétude grandissante des utilisateurs », indique à ZDNet.fr Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France. Il estime pour autant que cette inquiétude était disproportionnée.
« Il y a eu une forte médiatisation de cette menace qui ne correspondait pas forcément à la réalité opérationnelle du problème rencontrée sur le terrain par nos clients », poursuit le responsable. Il indique ainsi que la faille WMF n'a suscité le premier jour qu'une quinzaine de remontées de clients de Microsoft sur la zone EMEA (Europe Moyen-Orient & Afrique).
À titre de comparaison le virus Blaster en 2003 avait fait l'objet de 20 000 remontées, indique l'éditeur de Redmond.
Un avis partagé par le Cert-IST, centre français de surveillance en sécurité informatique dédié aux entreprises des secteurs de l'industrie et des services. « La faille est sérieuse mais nécessite une interaction de la part de l'utilisateur qui se rend sur un site internet malveillant », relativise Philippe Bourgeois, ingénieur en sécurité du Cert-IST. « Nous n'estimons pas dans ces conditions que Microsoft ait manqué de réactivité. »
F-Secure plus critique vis-à-vis de Microsoft
En attendant la publication du correctif de Microsoft, plusieurs experts avaient conseillé d'installer un patch non officiel programmé par un développeur indépendant. « Nous n'avons pas recommandé son installation », poursuit le responsable du Cert-IST. « Ce programme n'a probablement pas fait l'objet des mêmes contraintes de tests que celles de Microsoft. S'il y avait eu une montée en crise de cette menace, nous aurions peut-être pu changer d'avis, mais cela n'a pas été le cas ».
Selon le Cert-IST, il n'y aurait actuellement environ qu'un millier de sites internet exploitant cette faille sur toute la Toile.
Pour l'éditeur de logiciel antivirus F-Secure, Microsoft aurait en revanche pu mieux gérer l'affaire. « L'idée d'un patch mensuel demeure un bonne initiative afin de permettre aux utilisateurs de s'organiser, mais Microsoft doit être plus réactif lors de menaces sérieuses telles que celle liée aux fichiers WMF », estime son directeur technique France, Eugenio Correnti. F-Secure a pour sa part recommandé d'utiliser le patch non officiel « vu la situation d'urgence ».
Cette polémique aura en tout cas attiré l'attention sur le format WMF. Lundi 9 janvier, deux nouvelles vulnérabilités liées à ce format ont été décelées et décrites sur la liste de diffusion spécialisée Bugtraq. Microsoft étudie également ces nouvelles découvertes, dont il fait état sur son blog dédié à la sécurité.
La faille critique décelée le 28 décembre dernier dans Windows, au niveau du traitement des images WMF (Windows Meta File), n'a été corrigée que le 5 janvier par Microsoft, qui a confié à ZDNet.fr qu'il n'intégrera pas ce correctif dans son patch mensuel publié ce mardi 10 janvier.
Pourquoi l'éditeur a-t-il tardé à corrigé cette faille qu'il a jugée critique, puis publié un patch en urgence ? « Nous avons décidé de publier un correctif pour répondre à l'inquiétude grandissante des utilisateurs », indique à ZDNet.fr Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France. Il estime pour autant que cette inquiétude était disproportionnée.
« Il y a eu une forte médiatisation de cette menace qui ne correspondait pas forcément à la réalité opérationnelle du problème rencontrée sur le terrain par nos clients », poursuit le responsable. Il indique ainsi que la faille WMF n'a suscité le premier jour qu'une quinzaine de remontées de clients de Microsoft sur la zone EMEA (Europe Moyen-Orient & Afrique).
À titre de comparaison le virus Blaster en 2003 avait fait l'objet de 20 000 remontées, indique l'éditeur de Redmond.
Un avis partagé par le Cert-IST, centre français de surveillance en sécurité informatique dédié aux entreprises des secteurs de l'industrie et des services. « La faille est sérieuse mais nécessite une interaction de la part de l'utilisateur qui se rend sur un site internet malveillant », relativise Philippe Bourgeois, ingénieur en sécurité du Cert-IST. « Nous n'estimons pas dans ces conditions que Microsoft ait manqué de réactivité. »
F-Secure plus critique vis-à-vis de Microsoft
En attendant la publication du correctif de Microsoft, plusieurs experts avaient conseillé d'installer un patch non officiel programmé par un développeur indépendant. « Nous n'avons pas recommandé son installation », poursuit le responsable du Cert-IST. « Ce programme n'a probablement pas fait l'objet des mêmes contraintes de tests que celles de Microsoft. S'il y avait eu une montée en crise de cette menace, nous aurions peut-être pu changer d'avis, mais cela n'a pas été le cas ».
Selon le Cert-IST, il n'y aurait actuellement environ qu'un millier de sites internet exploitant cette faille sur toute la Toile.
Pour l'éditeur de logiciel antivirus F-Secure, Microsoft aurait en revanche pu mieux gérer l'affaire. « L'idée d'un patch mensuel demeure un bonne initiative afin de permettre aux utilisateurs de s'organiser, mais Microsoft doit être plus réactif lors de menaces sérieuses telles que celle liée aux fichiers WMF », estime son directeur technique France, Eugenio Correnti. F-Secure a pour sa part recommandé d'utiliser le patch non officiel « vu la situation d'urgence ».
Cette polémique aura en tout cas attiré l'attention sur le format WMF. Lundi 9 janvier, deux nouvelles vulnérabilités liées à ce format ont été décelées et décrites sur la liste de diffusion spécialisée Bugtraq. Microsoft étudie également ces nouvelles découvertes, dont il fait état sur son blog dédié à la sécurité.
Toutes les informations concernant la rubrique "capitalisation boursière"
[17/06/2008] Fusion Gaz de France-Suez : l'autorité des marchés donne son feu vert
[12/06/2008] Sony BMG pourrait devenir Sony tout court cet été
[29/05/2008] Wall Street finit en nette hausse, Yahoo en vedette
[29/05/2008] Pour Yahoo, Microsoft n'est plus intéressé par un rachat
[26/05/2008] Mobispine va fusionner avec General Wireless
[26/05/2008] Mobispine va fusionner avec General Wireless
[24/05/2008] Fusion en vue entre l'opérateur télécom indien Bharti et le sud africain MTN
[23/05/2008] Steve Liddell nommé PDG de Panther Express
[14/05/2008] Etude PWC "M&A Insights: Telecoms Sector 2008" - Secteur des télécommunications: activités F&A en recul
[14/05/2008] Fusions-acquisitions high-tech : 100 milliards d'euros en 2008
[27/04/2008] France Télécom va-t-il changer de nom ?
[27/04/2008] Robert Louis-Dreyfus [Groupe Louis-Dreyfus] vend ses actions Neuf Cegetel à SFR
[23/04/2008] PWHC prédit une bonne année 2008 pour les fusions-acquisitions
[23/04/2008] Telecoms : Fort ralentissement des acquisitions en 2007
[18/04/2008] France Télécom va-t-il changer de nom ?
[16/04/2008] ORANGE SA INH. : Orange veut acquérir Teliasonera
[16/04/2008] France Telecom pourrait devenir leader en Europe
[16/04/2008] Telecoms : Fort ralentissement des acquisitions en 2007
[11/04/2008] Yahoo s’allie à Google
[11/04/2008] Microsoft fixe un ultimatum à Yahoo! et menace de baisser son offre
[11/04/2008] PROXIMANIA : ACQUISITION DE GROUP INSERT
[10/04/2008] Yahoo! peu convaincu par Microsoft
[17/03/2008] Specific Media acquiert Adviva
[17/03/2008] Le boom des fusions-acquisitions face au risque de bulle
[11/03/2008] Neuf Cegetel en ordre de marche avant sa fusion avec SFR
[30/01/2008] M&A et fusions acquisitions: les activités dans ce domaine semblent migrer vers l'Asie
[21/01/2008] Ne m'appelez plus British Telecom
[20/01/2008] Restructuration d'Entreprise, entreprise en difficulté
[12/01/2008] Plus de 2000 fusions et acquisitions ont été conclues en 2007
[25/12/2007] nouveau volume record en 2007 à plus de 4000 mrd USD
[18/12/2007] SFR veut racheter Neuf Cegetel
[16/12/2007] Fusion-acquisition et augmentation d'effectifs : Generix défie les lois de la nature économique
[14/12/2007] Fusion-acquisition et augmentation d'effectifs : Generix défie les lois de la nature économique
[10/12/2007] Fusions acquisitions et private banking: analyse de KPMG
[07/12/2007] La fusion Activision/Vivendi
[07/12/2007] Fusions-acquisitions: pas de ralentissement en vue
[06/09/2007] baisse importante des fusions-acquisitions en août 2007
[30/01/2007] Bill gates à DAVOS Internet va révolutionner la TV
[30/12/2006] Fusions Acquisitions: Les opérations géantes sont de retour
[22/12/2006] Merrill Lynch anticipe une fusion entre AOL et Yahoo
[16/12/2006] Fusions acquisitions: encore plus en 2007 qu'en 2006 !
[04/12/2006] Wall Street: fusions-acquisitions en vedette.
[23/11/2006] Les fusions acquisitions au coeur de l'actualité Suez/GDF
[03/06/2006] Les opérateurs télécoms américains souhaitent un internet à péage
[29/05/2006] Arcelor s'allie au russe Severstal pour échapper à Mittal
[08/05/2006] Google craint Internet Explorer 7
[28/04/2006] Les fusions-acquisitions faites par des entreprises chinoises à l'étranger classent la Chine au premier rang en Asie
[27/04/2006] Cartesis annonce le lancement de Cartesis 10
[24/04/2006] Volume de fusions-acquisitions record au 1er trimestre en Europe
[30/03/2006] Alcatel-Lucent, un mariage très étudié
[25/02/2006] Sanofi-Aventis panse son social
[07/02/2006] Technologies de l'information : nette reprise des fusions
[23/01/2006] Panne de moteur sur le Nasdaq
[02/01/2006] BNP Paribas numéro un des fusions-acquisitions en 2005
[31/12/2005] Pourquoi le boom des fusions et acquisitions va se poursuivre en 2006
[23/12/2005] Projet de loi Dadvsi : reprise des débats en janvier
[23/12/2005] Les fusions et acquisitions seraient au plus haut depuis 2000
[19/12/2005] EDF entre au CAC 40 à la place de TF1
[15/12/2005] Philips étudie plusieurs solutions pour ses semi-conducteurs
[13/12/2005] L'ex-patron d'AOL-Time Warner, Steve Case, plaide pour le démantèlement du groupe
[08/12/2005] Gemplus et Axalto créent le leader mondial de la carte à puce
[20/10/2005] Fusions-acquisitions : 2005 est déjà un millésime historique
[20/10/2005] Le marché des fusions-acquisitions garde le vent en poupe
[20/10/2005] Accord EMME - HACHETTE MULTIMEDIA. Le Groupe EMME acquiert le fonds de commerce diffusion de Hachette Multimédia