Edition du 04/01/2002 - par Marc Olanié

Publiera, publiera pas ? La querelle qui oppose les éditeurs de programme et les veilleurs technologiques de la sécurité prend une tournure de plus en plus acide.
Du coté d'AOL notamment, avec l'annonce de la disponibilité du correctif d'AIM et la remarque acerbe d'Andrew Weinstein, un porte parole du fournisseur d'accès. « L'information émise par w00w00 n'a pas atteint les bonnes personnes [...] les programmeurs sont invités de façon pressante à contacter les éditeurs avant que de dévoiler de telles information concernant des failles » relate un article de notre confrère IT WorldCom. Il faut croire que personne, au sein d'AOL, ne sait se servir d'AIM pour aiguiller le mot aux services de développements. La faille était pourtant tellement « grosse » que même le service d'information de SNN1 relatait l'affaire dans la journée du 3 janvier. Un AtStake qui ne publie pourtant plus rien d'intéressant depuis que sa « maison mère » AtStake a signé avec Microsoft le fameux « pacte » de non-divulgation.

Le second coup de semonce est tiré par... Serge Guninski, actuellement l'un des plus virulents adversaires de l'omerta des éditeurs de logiciel. Il publie une superbe faille « transversale » d'Internet Explorer 6.0 permettant de lire à distance des informations situées sur le système local, le tout en exploitant un bug de la fonction GetObject(). L'exploit est détaillé sur le site du chasseur de failles, mais le plus amusant à lire se trouve en bas de page : « Microsoft a été notifié du problème dès le 11 décembre 2001. Ils ont eu 3 semaines devant eux pour concevoir une rustine mais n'ont toujours rien fait ». No comment.