Alors qu'une faille de sécurité critique affecte les versions les plus récentes de Windows, Microsoft vient d'annoncer que le correctif ne serait publié que le 10 janvier prochain. Certains...

Alors qu'une faille de sécurité critique affecte les versions les plus récentes de Windows, Microsoft vient d'annoncer que le correctif ne serait publié que le 10 janvier prochain. Certains éditeurs de sécurité s'offusquent de ce délai et vont jusqu'à inviter les internautes à installer un patch non officiel.

Le 27 décembre dernier, F-Secure, éditeur informatique finlandais, découvre une vulnérabilité dans les fichiers Windows MetaFile (WMF), qui correspondent notamment au format des images employées par les applications de la suite Office. Le code de la faille est rendu public, cette dernière est jugée critique.

En incitant l'internaute à visualiser une image au format WMF, préalablement piégée, ou à cliquer sur un lien (email, messagerie instantanée) menant vers une fichier de ce genre, un pirate est en mesure d'injecter un code malicieux dans la machine de ce dernier : chevaux de Troie, virus ou autres spywares... Pire encore, cette vulnérabilité peut être exploitée à partir d'une image renommée au format JPG, couramment employé sur Internet.

Microsoft est au courant, bien sûr, et s'emploie activement à résoudre ce problème. Cependant, pas de patch avant le 10 janvier, date prévue pour la livraison mensuelle des correctifs Windows. Motif avancé : la "rustine" est en cours de finalisation : tests, traductions, etc.

Du côté des éditeurs en sécurité, on estime ce délai d'une semaine absolument inadmissible : au vu de l'importance de la faille, et des quelque 70 variantes l'exploitant déjà recensées, il est urgent de protéger les millions d'ordinateurs concernés, au risque de voir se déclencher en quelques jours une attaque de grande envergure.

Un développeur nommé Ilfak Guilfanov a entrepris de concevoir lui-même le correctif approprié : "J'avais peur pour ma machine parce que l'on peut être infecté rien qu'en visitant un site avec son navigateur", explique-t-il à la presse.

Inédit dans l'univers de la sécurité informatique : des éditeurs comme F-Secure ou SANS ont appelé - après tests - les utilisateurs à ne pas attendre la réaction de Microsoft, et à installer le correctif non officiel développé par Guilfanov. Si Microsoft a bien voulu admettre, par la bouche de l'une des responsables de la branche sécurité informatique, Debby Fry Wilson, que la menace était "sérieuse", l'éditeur ne s'est en revanche pas prononcé quant à la fiabilité du patch...

(Atelier groupe BNP Paribas - 04/01/2006)