L'affaire de « l'URL Spoofing » d'Internet Explorer continue à faire couler de l'encre, des larmes et des sourires narquois. Après la tentative d'exploitation commerciale d'Abracadabra, la course au « patch » d'origine non-Microsoft passe à la vitesse supérieure. Cette foi-ci, c'est au tour du site Open Source OpenWares de fournir sa rustine gratuite accompagnée de son code source.

En attendant, pour faire bonne figure, Microsoft décrit le bug, au cas où ses usagers auraient « loupé » l'annonce de Zap the Digbats. Reste à espérer que la fréquentation de la « Kbase » par les usagers grand public de Windows XP est aussi importante que celle des sites marchands en cette période de Noël.

Sans apparemment le vouloir -faut-il l'espérer-, MS vient d'ouvrir une brèche phénoménale dans sa politique de sécurité. En espaçant les « lots » de correctifs, « Corp » seulement encourage la multiplication de correctifs « sauvages » dont on ne peut prédire le comportement à long terme. Des correctifs dénués de tout déverminage de compatibilité matériel, dépourvu de tout contrôle de nouvelles instabilité transversales. La chasse à ces éventuels « bug dans l'anti-bug » alourdit d'autant plus les problèmes de tests de non régression imposés aux cellules de sécurité des entreprises. Car, dans le cas d'un tel défaut (ndt : le problème URL Spoofing), la question ne se pose pas, il FAUT patcher. Les risques d'attaques par pages « scamées » à l'aide d'adresses falsifiées (spoofées) sont de plus en plus importants chaque jour, et le « bug » en question, bien qu'intrinsèquement non dangereux, ouvre la voie à des intrusions dont la criticité est extraordinairement élevée. Et tenter, en quelques jours, d'évangéliser les usagers d'un parc en leur récitant le mantra microsoftien « vérifier la validité de votre connexion SSL » et « effectuez un couper-coller de chaque URL douteuse dans votre bloc-note afin de vérifier l'éventuelle présence d'un %00, d'un %01 ou d'un @ », vous y croyez , vous ? C'est hélas, pour l'heure, la seule solution offerte par l'éditeur.


Dernière minute


A l'heure ou nous publions ces lignes (3 heures du matin, heure de Seattle), c'est au tour de BlueCoat d'offrir son script de filtrage, gratuit et plus simple à lire que l'oeuvre d'OpenWare. Dans les 5 ou 6 heures qui suivront, il y a de fortes chances pour qu'une dizaine d'autres « conseillers experts en sécurité » vienne proposer une flopé de solutions de colmatage, au nombre desquels pourront toujours s'immiscer des codes malins ou des programmes « incompatibles ». En persistant d'observer un éloquent mutisme, Microsoft détruit consciencieusement le « capital confiance » qui entourait l'ensemble de la profession de l'édition logicielle. La race de « ceux qui corrigent quand çà les arrange » n'a désormais plus tellement de leçons à donner aux défenseurs du full disclosure.

. Web-profils.com, la place de marché du conseil et de l'ingénierie