Quatre failles 0-day dans Internet Explorer Mobile

Quatre failles 0-day dans Internet Explorer Mobile

Et ce n'est pas faute d'avoir averti à l'avance

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

24/07/2015 5 minutes
91

Quatre failles 0-day dans Internet Explorer Mobile

La version mobile d’Internet Explorer fait actuellement face à quatre failles 0-day. Un chiffre important et d’autant plus grave que Microsoft était au courant de ces brèches de sécurité depuis plusieurs mois. Explications.

Windows et Windows Phone partagent de nombreux points communs, y compris un certain nombre de composants. Dans Windows Phone 8.1 particulièrement, Microsoft a largement insisté sur le fait que la version intégrée d’Internet Explorer reprenait par exemple le même moteur que la version 11 présente sur Windows 7 et 8.1 (Windows 8 était fourni avec Internet Explorer 10 et ne pouvait à la version 11 qu’avec la mise à jour 8.1).

Les 120 jours de la ZDI largement dépassés

Problème : les failles touchant la version classique peuvent très bien affecter la variante mobile. C’est précisément ce qui s’est passé avec quatre brèches de sécurité signalée par la Zero Day Initiative de HP le 12 novembre de l’année dernière. Ceux qui connaissent la ZDI savent qu’une politique de 120 jours est appliquée : c’est le délai fourni à l’éditeur pour corriger les problèmes signalés, après quoi les détails des failles sont révélés. L’éditeur peut cependant réclamer un délai en cas de retard, mais l’acceptation dépend des cas.

Environ trois mois et demi après le signalement, et sans nouvelle de la part de Microsoft, l’équipe de la ZDI a demandé à l’éditeur s’il avait besoin d’un peu plus de temps. Réponse affirmative du côté de Microsoft, qui requiert alors un prolongement jusqu’au 19 juillet. Trop long pour la ZDI, qui octroie dans un premier temps une date butoir fixée au 12 mai. Le 29 avril, l’équipe demande une nouvelle fois à Microsoft comment avance le travail sur les correctifs. Mais l’éditeur n’est pas prêt, et la ZDI accorde finalement la date réclamée initialement : le 19 juillet.

Quatre failles, dont une suffisamment documentée pour représenter un vrai danger

À partir de là, Microsoft était averti que les détails des failles seraient publiés le 20 juillet dans tous les cas. Or, entre temps, des patchs de sécurité ont bien été fournis à Internet Explorer, mais uniquement pour les versions sur PC. Traduction : les failles restent ouvertes sur Windows Phone, et les patchs n’ont pas été distribués. Les quatre bulletins publiés par ZDI, estampillés ZDI-15-359, ZDI-15-360, ZDI-15-361 et ZDI-15-362 font donc tous référence à Internet Explorer Mobile.

Selon l’échelle CVSS (Common Vulnerability Scoring System), la faille la plus grave est la première, avec un score de 7,5 sur 10. Elle est relative à la manière dont le navigateur gère les tableaux dans les tables HTML. Dans certaines circonstances, et via un site web spécialement conçu, un pirate pourrait amener le navigateur à exécuter un code arbitraire. Le seul facteur limitant l’attaque est que le pirate doit obtenir de l’utilisateur qu’il accomplisse une action, comme cliquer sur un lien.

Cette faille est d’autant plus sérieuse qu’elle a initialement été révélée par le chercheur en sécurité Nicolas Joly lors du dernier concours Mobile Pwn2Own, organisée par la ZDI justement. En vertu des règles du concours, les détails en avaient été partagés avec cette dernière, ainsi qu’avec Microsoft. Selon Carsten Eiram, directeur de la recherche chez Risk Based Security, interrogé par Network World, la faille ZDI-15-359 est la seule des quatre à être entourée de suffisamment d’informations pour que les pirates aient « un bon point de départ ».

Le problème des mises à jour sur Windows Phone

La seule solution pour l’instant côté utilisateur est de désactiver complètement l’Active Scripting, ou au moins de configurer Internet Explorer Mobile pour qu’une autorisation soit systématiquement demandée avant d’exécuter ce type d’action.

Notez que la correction des failles dans Internet Explorer Mobile prendra nécessairement plus de temps à atteindre les utilisateurs que dans le cas des Windows classiques. Windows Update peut fournir rapidement les correctifs pour les systèmes PC, Microsoft n’hésitant d’ailleurs pas à briser son cycle mensuel quand cela est nécessaire. Dans le cas de Windows Phone, la mise à jour doit être malheureusement envoyée à travers les filtres successifs des constructeurs et des opérateurs, les contrôles allongeant nettement le processus de diffusion.

Notez que cette situation devrait s'améliorer avec Windows 10 Mobile, puisque le système sera équipé du même Windows Update que son équivalent sur PC. Reste à savoir s'il fonctionnera à la même vitesse, Microsoft ayant clairement sous-entendu que les opérateurs auraient moins leur mot à dire.

91

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les 120 jours de la ZDI largement dépassés

Quatre failles, dont une suffisamment documentée pour représenter un vrai danger

Le problème des mises à jour sur Windows Phone

Commentaires (91)


NSA powered. <img data-src=" />


Dates auxquelles Microsoft a été mis au courant de ces failles :



ZDI-15-359 : 12 novembre 2014 (concours Pwn2Own Mobile).

ZDI-15-360 : 8 janvier 2015.

ZDI-15-361 : 20 janvier 2015.

ZDI-15-362 : 20 janvier 2015.



24 juillet 2015 : toujours pas corrigées. Belle réactivité !



D’une façon plus générale ça pose le problème des mises à jour sur OS mobiles : il faudrait au moins que les acteurs (y compris Google et Apple) supportent au moins des patches de sécurité sur tous leurs appareils.


nan, je dirais plus que ca doit etre chiant a corriger avec toutes les validations a faire aupres des operateurs.



et avec&nbsp;edge qui attend au coin de la rue, je pense qu’un ponte a du dire OSEF tout simplement… meme si ca fait tache…


Promo sur la faille, 3 achetées la 4ème offerte.



<img data-src=" />


MS, là vous n’avez pas d’excuse, surtout avec vos moyens…


Plus de 6 mois pour un patch c’est suffisant, tu ne penses pas ? ;)


MS est capable de demander à redéfinir la notion d’une journée à 72h pour leur permettre d’enfin pondre des correctifs en moins 120 jours.


Fallait embaucher plus d’Indiens chez MS.


Question bête, là : le fait qu’ils aient viré en gros 25.000 personnes dans leur secteur “telephonie” pourrait-il être lié ?

Je sais pas, si à moi tu me vires 25.000 collègues en moins d’un an, j’ai un peu tendance à devenir légèrement moins productif, car légèrement moins enthousiaste….

Je dis ca, je dis rien….








Drepanocytose a écrit :



Question bête, là : le fait qu’ils aient viré en gros 25.000 personnes dans leur secteur “telephonie” pourrait-il être lié ?

Je sais pas, si à moi tu me vires 25.000 collègues en moins d’un an, j’ai un peu tendance à devenir légèrement moins productif, car légèrement moins enthousiaste….

Je dis ca, je dis rien….





Non, ca fait des années que MS traine des pieds pour publier des correctifs dans un temps considéré par tous comme acceptable (3 mois) alors que les autres plateformes n’ont pas ce problème.

&nbsp;

&nbsp;C’est récurrent chez eux, ils n’ont jamais donné d’explications sur ce sujet. Ils se sont juste contenté d’expliquer que les gens ne devraient pas publier les failles.

&nbsp;









flagos_ a écrit :



Non, ca fait des années que MS traine des pieds pour publier des correctifs dans un temps considéré par tous comme acceptable (3 mois) alors que les autres plateformes n’ont pas ce problème.





On est d’accord là dessus, mais là c’est différent.



MS a evidemment merdé comme d’hab, en prenant un temps fous pour un pauvre patch.



Mais ils ont fini par le sortir à l’arrache sur PC, mais pas sur mobile…. Du coup :




  • soit programmer sur mobile c’est plus compliqué (j’en doute)

  • soit ils ont “vraiment mis les moyens” (sic !) sur le PC et pas sur le mobile

  • soit ils n’ont tout simplement pas les moyens, sur mobile….









Drepanocytose a écrit :



On est d’accord là dessus, mais là c’est différent.



MS a evidemment merdé comme d’hab, en prenant un temps fous pour un pauvre patch.



Mais ils ont fini par le sortir à l’arrache sur PC, mais pas sur mobile…. Du coup :




  • soit programmer sur mobile c’est plus compliqué (j’en doute)

  • soit ils ont “vraiment mis les moyens” (sic !) sur le PC et pas sur le mobile

  • soit ils n’ont tout simplement pas les moyens, sur mobile….





    Rien à voir, le patch mets plus temps du au fait des filtres de vérifications des fabricants de téléphones et ensuite du fournisseurs d’accès. C’est en effet indiqué dans la news.

    &nbsp;

    La vitesse de correction d’une faille n’est pas lié au fait que ce soit libre ou pas, mais simplement l’envie de le faire. Ce que Windows rechigne à faire préférant bosser sur Edge.









boogieplayer a écrit :



Rien à voir, le patch mets plus temps du au fait des filtres de vérifications des fabricants de téléphones et ensuite du fournisseurs d’accès. C’est en effet indiqué dans la news.





 Certes.

Mais MS ne vent-il pas de téléphones lui même, ou plutôt avec au moins avec un contrôle accru sur certains téléphones ?





La vitesse de correction d’une faille n’est pas lié au fait que ce soit libre ou pas, mais simplement l’envie de le faire. Ce que Windows rechigne à faire préférant bosser sur Edge depuis toujours..



FYP









Drepanocytose a écrit :



&nbsp;Certes.

Mais MS ne vent-il pas de téléphones lui même, ou plutôt avec au moins avec un contrôle accru sur certains téléphones ?





&nbsp;J’irai même plus loin: je crois qu’il ne reste plus que MS comme fabricant de téléphones Windows Phone. Ils pourraient donc publier les versions correctrices, au moins pour leur téléphones, quitte a ce que soit une installation manuelle pour shunter les opérateurs.

&nbsp;

&nbsp;Après, sur ce coup la, le souci c’est aussi que IE est installé avec le système. Chrome sur Android s’installe avec le Play Store, ce qui est nettement plus simple pour mettre a jour.



Les autres plates-formes n’ont pas ce problème ?

&nbsp;

On va éviter de parler du suivi des mises à jours des constructeurs de phones android alors…



&nbsp;Je n’exonère pas MS de ses tors, mais prétendre que les autres ne font pas pareil, voir dans certains cas pire, c’est juste du foutage de gueule, le phone milieu/haut de gamme Samsung (qui n’est pourtant pas la pire) de ma femme n’est plus mis à jours alors qu’il n’a pas deux ans..


Oui tiens c’est juste ce que vous dites, ça me rappelle un discours :



« Microsoft fabrique lui-même ses téléphones, les Lumia, ce qui assure qu’ils seront supportés et auront les mises à jour sur TOUS les téléphones, Microsoft peut les mettre à jour directement, contrairement à Google qui ne peut pas pousser les màj directement aux utilisateurs, c’est au bon vouloir des constructeurs, du coup les utilisateurs Android sont laissés à l’abandon !!! »



Dont acte oui, on voit aujourd’hui que le support des Windows Phone n’est pas forcément meilleur, même si Microsoft peut proposer directement les mises à jour aux utilisateurs…



Encore un argument qui vole en éclats.








Arka_Voltchek a écrit :



Les autres plates-formes n’ont pas ce problème ?

 

On va éviter de parler du suivi des mises à jours des constructeurs de phones android alors…



 Je n’exonère pas MS de ses tors, mais prétendre que les autres ne font pas pareil, voir dans certains cas pire, c’est juste du foutage de gueule, le phone milieu/haut de gamme Samsung (qui n’est pourtant pas la pire) de ma femme n’est plus mis à jours alors qu’il n’a pas deux ans..







À mon sens toutes les plates-formes mobiles ont ce problème (cf mon premier message au-dessus). Prétendre que l’un d’eux supporte et met à jour tous ses téléphones, c’est complètement mensonger, on le voit aujourd’hui, et même Microsoft ne fait pas exception.









Konrad a écrit :



À mon sens toutes les plates-formes mobiles ont ce problème (cf mon premier message au-dessus). Prétendre que l’un d’eux supporte et met à jour tous ses téléphones, c’est complètement mensonger, on le voit aujourd’hui, et même Microsoft ne fait pas exception.





Apple, quand même, assure un bon suivi, il faut leur reconnaitre (bon, quelques MAJ sont bien foireuses, aussi). Avec le contrôle total qu’ils ont sur la plateforme, c’est pas très étonnant, mais ils pourraient faire bien mieux, cependant. Plus modulaire, plus fréquent, plus dans un esprit “rolling release”, etc…



MS, eux vont améliorer ca avec plus de contrôle sur la plateforme matérielle et sur la plateforme logicielle, avec W10. On verra, mais ca va dans le bon sens.



Android… Ca c’est un vrai défi pour Android. A mon avis le plus grand défi du moment, pour eux. Google s’y attelle, d’ailleurs….



C’est pas terrible comme histoire. Je pense que MS ne refera plus l’erreur d’intégrer les opérateurs et les constructeurs dans le processus de MAJ sur mobile, même si concrètement je sais pas ce que ça va leur couter.

&nbsp;



Ils ont mis du temps à part ça.



&nbsp;&nbsp;<img data-src=" />



&nbsp;

&nbsp;


En fait je comprends pas trop ce que les opérateurs ont a voir dans la soupe.

J’ai cmd un 635 il y a un mois. Déjà, je lui ai mis opera, mais les installs de soft mobile passent mieux sous IE.

Et je vois pas ou mon operateur doit se mêler des MAJ dans cette histoire?&nbsp;

&nbsp;

<img data-src=" />








barlav a écrit :



En fait je comprends pas trop ce que les opérateurs ont a voir dans la soupe.

J’ai cmd un 635 il y a un mois. Déjà, je lui ai mis opera, mais les installs de soft mobile passent mieux sous IE.

Et je vois pas ou mon operateur doit se mêler des MAJ dans cette histoire?&nbsp;

&nbsp;

<img data-src=" />





C’est MS qui a permis aux opérateur de repousser une MAJ, 1 sur 2 jusqu’à la suivante il me semble. Je sais pas pourquoi non plus&nbsp; <img data-src=" />

&nbsp;

&nbsp;

&nbsp;Comme cette MAJ passe apparemment par une maj système et non une simple MAJ applicative, elle n’est pas encore rendu dispo sur téléphone.









Drepanocytose a écrit :



Android… Ca c’est un vrai défi pour Android. A mon avis le plus grand défi du moment, pour eux. Google s’y attelle, d’ailleurs….







Oui c’est un vrai défi. À la limite ça ne me choque pas que tous les appareils ne soient pas mis à jour vers les nouvelles versions d’Android (on peut comprendre par exemple que certains vieux appareils « basiques », cheap et sans fioriture, qui ont plus de 3 ans, soient restés sous Android 2.3).



En revanche pour les failles de sécurité, je trouve qu’il faudrait vraiment qu’un effort soit fait pour que tous les appareils bénéficient des patches. Parce que même s’il a un vieil appareil sous Android 2.3, un utilisateur pourra subir des attaques… Il faudrait donc, a minima, que les patches de sécurité puissent être déployés sur tous les appareils. Surtout que si la faille est si ancienne qu’elle touche toutes les versions d’Android, le patch devrait être sensiblement le même pour toutes ces versions. Le problème n’est pas le coût de développement du patch, mais son déploiement.



Avec l’Open Handset Alliance (OHA) Android impose ses conditions aux constructeurs (apparition des applis Google en première page, etc.). Ils pourraient peut-être ajouter le déploiement des patches dans ces conditions, ça ne me paraîtrait pas excessif.



Sous Android c’est encore pire ! Les mises à jour sont encore moins suivies que sous Windows Phone car Google n’impose rien.








linconnu a écrit :



Sous Android c’est encore pire ! Les mises à jour sont encore moins suivies que sous Windows Phone car Google n’impose rien.





c’est clair!! et c’est rien de le dire, sur Android là c’est plus des failles laissées au bord de la route, mais des trous béants dans les passoires et des abandons de la plupart des modèles très vite et dans tous les sens <img data-src=" />









Konrad a écrit :



Oui c’est un vrai défi. À la limite ça ne me choque pas que tous les appareils ne soient pas mis à jour vers les nouvelles versions d’Android (on peut comprendre par exemple que certains vieux appareils « basiques », cheap et sans fioriture, qui ont plus de 3 ans, soient restés sous Android 2.3).&nbsp;

&nbsp;



Ouais enfin…

J’avais un galaxy ACE, il tournait mieux sous kitkat (CM) que sous android 2.3

&nbsp;

Quand tu vois les specs des Android One qui font tourner Lollipop, le problème pour mettre a jour les smartphones, c’est pas le materiel.









turgouna a écrit :



c’est clair!! et c’est rien de le dire, sur Android là c’est plus des failles laissées au bord de la route, mais des trous béants dans les passoires et des abandons de la plupart des modèles très vite et dans tous les sens <img data-src=" />







C’est le défaut d’avoir autorisé un maximum de constructeurs à utiliser leur OS tout en ne gardant pas la main dessus au final :)

Principe super pour envahir un marché très rapidement & éviter une grosse dépense en suivis ; mais au niveau de l’image de marque … ^^’



M’enfin, le suivis, l’utilisateur lambda s’en branle totalement (et généralement ne sait même pas ce que c’est …), donc ils ont tout intérêt à ne pas se forcer à avancer trop vite.









Arka_Voltchek a écrit :



Les autres plates-formes n’ont pas ce problème ?

&nbsp;

On va éviter de parler du suivi des mises à jours des constructeurs de phones android alors…



&nbsp;Je n’exonère pas MS de ses tors, mais prétendre que les autres ne font pas pareil, voir dans certains cas pire, c’est juste du foutage de gueule, le phone milieu/haut de gamme Samsung (qui n’est pourtant pas la pire) de ma femme n’est plus mis à jours alors qu’il n’a pas deux ans..





Tu changes complètement de sujet. MS a mis quasiment 9 mois (!) pour coder un patch. C’est cela que je critique, et qui n’existe pas sur les autres plateformes, y compris android.

&nbsp;

&nbsp;Après le déploiement, c’est autre chose. Tout le monde est embêté avec ca, MS comme Google. Ya qu’Apple qui s’en sort bien a ce petit jeu la.



1% des smartphones du marché <img data-src=" />








flagos_ a écrit :



Tu changes complètement de sujet. MS a mis quasiment 9 mois (!) pour coder un patch. C’est cela que je critique, et qui n’existe pas sur les autres plateformes, y compris android.







Oui, Microsoft sont trop nuls.

Ils n’avaient qu’à faire ctrl + F “breach” dans le code pour la trouver et l’effacer.



C’est facile à dire ce genre de chose quand on n’a aucun élément permettant d’évaluer si oui ou non le délai de correction est raisonnable ou absurde.

Temps pour identifier l’origine de l’anomalie dans le code et pour produire la correction ?

Impact du correctif sur le reste de l’écosystème ?

Tests de non régression, recettage, qualification ?

Process interne de Microsoft de dev, validation, TNR, packaging, déploiement, etc ? Les boîtes US sont parfois très procédurières là dessus.

Disponibilité des ressources comme évoqué plus haut ?



En connaissant ces éléments, il sera plus facile/justifié de les blâmer ou non.



Patch attendu en 2016 sur HTC 8X et 2018 sur Samsung Ativ S <img data-src=" /><img data-src=" />








flagos_ a écrit :



Tu changes complètement de sujet. MS a mis quasiment 9 mois (!) pour coder un patch. C’est cela que je critique, et qui n’existe pas sur les autres plateformes, y compris android.

&nbsp;

&nbsp;Après le déploiement, c’est autre chose. Tout le monde est embêté avec ca, MS comme Google. Ya qu’Apple qui s’en sort bien a ce petit jeu la.





Ils ont mis du temps ça ont peut le leur reprocher, même si évidement on ne sait pas pourquoi ça mis tout ce temps, parler d’incompétence c’est un peu facile, peut être que la correction était plus difficile que prévue ou qu’ils ne lui ont pas donner l’importance nécéssaire.

&nbsp;

&nbsp;Après entre une correction qui met du temps et un déploiement qui n’arrivera jamais, je sais pas ce qui est pire…

&nbsp;



Il faut se rappeler qu’il n’y a pas si longtemps, on parlais d’une faille androïd qui touchait 99% des terminaux et que les constructeurs ne se sont pas gênés pour annoncer que les terminaux non supportés ne verraient tout simplement pas de corrections arriver, ils s’en foutent complètement et la situation avec une telle politique, peut être pire que tout à mon avis.









SebGF a écrit :



Oui, Microsoft sont trop nuls.

Ils n’avaient qu’à faire ctrl + F “breach” dans le code pour la trouver et l’effacer.



C’est facile à dire ce genre de chose quand on n’a aucun élément permettant d’évaluer si oui ou non le délai de correction est raisonnable ou absurde.

Temps pour identifier l’origine de l’anomalie dans le code et pour produire la correction ?

Impact du correctif sur le reste de l’écosystème ?

Tests de non régression, recettage, qualification ?

Process interne de Microsoft de dev, validation, TNR, packaging, déploiement, etc ? Les boîtes US sont parfois très procédurières là dessus.

Disponibilité des ressources comme évoqué plus haut ?



En connaissant ces éléments, il sera plus facile/justifié de les blâmer ou non.





Je dis pas que les mecs de MS sont des branques. Je vois juste que le temps mis pour pondre un correctif n’est pas acceptable.

&nbsp;

&nbsp;Et si la raison est que:

&nbsp;- les devs sont des feignasses: un bon coup de pied au cul

&nbsp;- les process sont trop complexes, mal maitrisés, ou non automatisés: MS doit se sortir les doigts.

&nbsp;

&nbsp;Dans tous les cas, oui MS ils sont trop nuls. Une faille sur kernel Linux, sur Chrome(OS) sur Mac ou même sur Android ne met pas autant de temps a être résolu (sur Android, c’est le déploiement qui pose souci, mais le patch existe). Le temps que met MS &nbsp;pondre un correctif montre qu’ils ne font aucun effort pour optimiser les temps de delivery, et ca donne ce genre de planning délirant.

&nbsp;

&nbsp;A l’heure des méthodes agiles, ca laisse songeur.

&nbsp;



Vivement l’actu sur RCSAndroid <img data-src=" />








after_burner a écrit :



Il faut se rappeler qu’il n’y a pas si longtemps, on parlais d’une faille androïd qui touchait 99% des terminaux et que les constructeurs ne se sont pas gênés pour annoncer que les terminaux non supportés ne verraient tout simplement pas de corrections arriver, ils s’en foutent complètement et la situation avec une telle politique, peut être pire que tout à mon avis.





La fameuse faille Android dont tout le monde parle…. parce qu’au final, le problème ne s’est posé qu’une seule fois.

&nbsp;

&nbsp;Le problème se posait sur android 4.3, sur un composant qui, si chrome était installé (pas utilisé j’insiste, juste installé), n’était pas utilisé. Sachant que chrome est installé avec le play store sur quasiment tous les téléphones de la terre à part en Chine, en gros, ca concernait quasiment personne.

&nbsp;

&nbsp;Et pour l’utilisateur, il suffit d’installer chrome (pas de s’en servir, juste l’installer) et le problème est résolu.

&nbsp;

&nbsp;Au final, tout le monde parle de faille android, un bon vieux mythe urbain, mais au final il y en a qu’une de non traité, qui ne concernait qu’une minorité d’appareils. Le reste a toujours été traité sérieusement. Les seuls autres soucis sont les gens qui ont installés des applis hors du Play Store….









flagos_ a écrit :



Je dis pas que les mecs de MS sont des branques. Je vois juste que le temps mis pour pondre un correctif n’est pas acceptable.

&nbsp;

&nbsp;Et si la raison est que:

&nbsp;- les devs sont des feignasses: un bon coup de pied au cul

&nbsp;- les process sont trop complexes, mal maitrisés, ou non automatisés: MS doit se sortir les doigts.

&nbsp;

&nbsp;Dans tous les cas, oui MS ils sont trop nuls. Une faille sur kernel Linux, sur Chrome(OS) sur Mac ou même sur Android ne met pas autant de temps a être résolu (sur Android, c’est le déploiement qui pose souci, mais le patch existe). Le temps que met MS &nbsp;pondre un correctif montre qu’ils ne font aucun effort pour optimiser les temps de delivery, et ca donne ce genre de planning délirant.

&nbsp;

&nbsp;A l’heure des méthodes agiles, ca laisse songeur.

&nbsp;





Que ce soit M\( ou un autre, le fait de "sortir" un correctif n'est pas si simple que cela!

Pour avoir "sévi" pendant quelques décennies dans le développement d'une suite logicielle chargée de gérer la synchro de traitement entre machines (cela pouvait monter jusqu'à plus de 3000 machines...), aux systèmes d'exploitation divers, de Windows en passant par tous les UNIX et autres Linux et d'autre bécanes ésotériques et mainframes, il est clair qu'avant de sortir un patch, les étapes de tests unitaires, puis de non-régression, de recette en quantité, et les boucles de retours éventuelles peuvent prendre énormément de temps...

Dans la dernière société où j'ai "joué", le staff d'industrialisation des produits (et des correctifs) utilisait plus de 200 plateformes, avec des systèmes différents avec un certain nombre de versions"reconnues", plateformes sur lesquelles chaque nuit, le produit complet, après intégration du ou des patchs était automatiquement compilé, généré, packagé comme pour une livraison complète, installé automatiquement sur les 200 plateformes et subissait un banc de procédures de recettes-test durant une grosse partie de la nuit, particulièrement de non-régression, le staff d'industrialisation et les DEVs ayant le compte rendu le lendemain matin. Ces procédures lourdes n'empêchant pas de temps à autres des "loups" de passer au travers de ces filtres. Et pour certains bugs particulièrement sournois, des mois pouvaient s'écouler avant qu'une solution pérenne soit trouvée...

Et il existe aussi un autre handicap, qui a pu toucher M\)
: La réalisation des fonctionnalités par équipe-projet, l’équipe “disparaissant” une fois le projet achevé (quelquefois sous-traité!), et rendant plus compliquée la “reprise” éventuelle de la maintenance par des “étrangers”… Vécu dans certaines structures!



Ils déconnaient pas sur les dangers de la déshydratation…








zogG a écrit :



Ils déconnaient pas sur les dangers de la déshydratation…





<img data-src=" />



<img data-src=" />



&nbsp;

&nbsp;J’en connais un, petit certes, qui mets tous ses téléphones à jour. Et avec plusieurs mises à jours par ans.

&nbsp;

&nbsp;








flagos_ a écrit :



La fameuse faille Android dont tout le monde parle…. parce qu’au final, le problème ne s’est posé qu’une seule fois.

&nbsp;

&nbsp;Le problème se posait sur android 4.3, sur un composant qui, si chrome était installé (pas utilisé j’insiste, juste installé), n’était pas utilisé. Sachant que chrome est installé avec le play store sur quasiment tous les téléphones de la terre à part en Chine, en gros, ca concernait quasiment personne.

&nbsp;

&nbsp;Et pour l’utilisateur, il suffit d’installer chrome (pas de s’en servir, juste l’installer) et le problème est résolu.

&nbsp;

&nbsp;Au final, tout le monde parle de faille android, un bon vieux mythe urbain, mais au final il y en a qu’une de non traité, qui ne concernait qu’une minorité d’appareils. Le reste a toujours été traité sérieusement. Les seuls autres soucis sont les gens qui ont installés des applis hors du Play Store….





Peut être que cette fois c’était une faille sans importance, même si ça été bien relevé dans la presse, mais sur une faille plus importante, l’attitude des constructeurs peut engendrer de plus gros soucis.&nbsp;

&nbsp;

&nbsp;Il ne faut pas nier ce point.









after_burner a écrit :



Peut être que cette fois c’était une faille sans importance, même si ça été bien relevé dans la presse, mais sur une faille plus importante, l’attitude des constructeurs peut engendrer de plus gros soucis. 

 

 Il ne faut pas nier ce point.







Oui je suis d’accord là-dessus : il faudrait des mécanismes plus efficaces pour pousser au moins les patches critiques vers tous les utilisateurs, à l’instar de ce qui existe pour les OS de bureau, qu’il s’agisse d’ailleurs d’Android, iOS ou Windows Phone… Les OS pour smartphones ont des progrès à faire là-dessus <img data-src=" />



Après ce serait bien que les patches ne mettent pas 6 mois à sortir. La dernière grosse vulnérabilité d’iOS, la fameuse faille FREAK, a été patchée en une semaine.



Pour ce qui concerne la fameuse faille Android qui a été tant décriée, il faut se souvenir de la réponse officielle de Google (traduite par mes soins) :



« Si la version concernée est antérieure à 4.4, nous ne développons généralement pas le patch nous-mêmes, mais nous restons ouverts aux patches proposés pour considération. À part notifier les OEMs, nous ne serons pas en mesure d’effectuer la moindre action sur les rapports concernant les versions antérieures à 4.4 qui ne sont pas accompagnées d’un patch. »



Autrement dit Google a bel et bien proposé un patch, mais ne peut pas le pousser vers les utilisateurs d’Android 4.3 et antérieurs (soit la majorité des utilisateurs). Les seuls à pouvoir propager le patch, ce sont les intégrateurs (OEMs), et donc Samsung, HTC, etc. Et la plupart ont juste ignoré le problème. Bref le problème dans ce cas n’a pas été la mise au point du patch (qui a bien été rapide), mais la difficulté à le propager vers les utilisateurs -et c’est là que Google, et les intégrateurs, ont beaucoup de boulot pour améliorer les choses. Le composant concerné (WebView) faisait partie des composants de cœur d’Android, d’où la difficulté. À partir de la version 4.4 c’est devenu un composant Google Play Services, qui peut donc être mis à jour beaucoup plus facilement depuis le Play Store, sans dépendre des OEMs.



Alors je veux bien qu’une faille ça peut être compliqué à patcher, qu’il y a des process de vérification, et ainsi de suite, mais il y a une chose indéniable : Microsoft est la seule entreprise, sur mobile (cf la news) comme sur desktop (Windows 7 et 8), à rester 6 mois sans même proposer un patch. On peut dire que tout n’est pas parfait chez Google et Apple, mais au moins ils développent des patches rapidement…









Konrad a écrit :











&nbsp;C’est sur que dans ce cas précis ils ont mis beaucoup de temps pour trouver une solution.<img data-src=" />

&nbsp;



&nbsp;On ne saura pas trop pourquoi.









Konrad a écrit :



Oui je suis d’accord là-dessus : il faudrait des mécanismes plus efficaces pour pousser au moins les patches critiques vers tous les utilisateurs, à l’instar de ce qui existe pour les OS de bureau, qu’il s’agisse d’ailleurs d’Android, iOS ou Windows Phone… Les OS pour smartphones ont des progrès à faire là-dessus <img data-src=" />







En gros les OS mobile devraient être comme des OS desktop.



Pour moi il est nécessaire que l’éditeur de l’OS garde la main de bout en bout dessus justement pour ces questions de sécurité, comme tu le dis également. Pour tout ce qui est question de surcouche constructeur, il faudrait que ça puisse être totalement détaché du système.



Je rêve du jour où sur un smartphone on pourra faire un “sudo apt-get dist-upgrade” sans avoir à attendre l’aval de douze milliards d’intermédiaires.



Faut suivre ce projet alorshttp://plasma-mobile.org/ <img data-src=" />








zogG a écrit :



Faut suivre ce projet alorshttp://plasma-mobile.org/ <img data-src=" />







Ah intéressant ce projet, je connaissais pas merci <img data-src=" />



T’es pardonné, l’annonce date d’hier <img data-src=" />


Bienvenue à toi AMI venant du MOYEN AGE !!!&nbsp; Chez Google… non, ce n’est pas Google qui fabrique et qui patche ces milliers de terminaux sous Android 4.3, la préhistoire face à Windows Mobile.


Oh pas mal, on dirait que c’est basé sur Ubuntu Touch.

Je suis pas mal les news de Touch, et je mets de côté histoire de pouvoir tâter un futur modèle qui disposera du mode Convergence. Plasma semble néanmoins plus ouvert et orienté “power user”.



Merci beaucoup <img data-src=" />


Il me semble que c’est ce que Microsoft essaie de faire en sortant une déclinaison mobile de WU. D’un autre coté, les constructeurs (et les opérateurs, notamment en France, qui font de gros chiffres en vendant des téléphones avec les abonnements) ont tout intérêt à ralentir le plus possible le déploiement de mises à jour, pour pousser au renouvellement des terminaux.

&nbsp;

Etant donné que Microsoft est maintenant un constructeur à part entière, c’est vrai qu’on peux être un peu sceptique sur la réelle portée de WU sur mobiles.

&nbsp;

Concernant uniquement le point de vue sécurité par contre, c’est un bénéfice à mon avis (même si cet article montre le contraire), car la boite qui conçoit un OS n’as pas d’intérêt à le laisser se transformer en gruyère. Ce n’est pas bon pour son image ni pour la sécurité en général. C’est pour ca que MS déploie les MaJ de sécurité quelque soit la validité de la license (point à confirmer) . Car se retrouver avec quelques millions de PC zombies supplémentaires n’est pas une bonne chose. :)


mais heu, la réponse à mon message a été supprimée pendant que j’étais sur la route…je suis certain que c’était marrant aussi. <img data-src=" />


Ça censure autant mais ça se plaint quant à la loi renseignement… <img data-src=" />








Nikodym a écrit :



Ça censure autant mais ça se plaint quant à la loi renseignement… <img data-src=" />





Oui, la censure c’est atroce, c’est un vrai fléau&nbsp;<img data-src=" />









Vincent_H a écrit :



Oui, la censure c’est atroce, c’est un vrai fléau <img data-src=" />





Merci pour le nettoyage, ça devenait une vraie cour d’école <img data-src=" />









Vincent_H a écrit :



Oui, la censure c’est atroce, c’est un vrai fléau <img data-src=" />





Résistons camarade !





Vous devriez laisser quand même la possibilité de voir encore ses propres commentaires ou au lieu de supprimer le fil entier, le détacher de la niouze afin de permettre aux écoliers de se lancer des crottes de nez. Il y a de vraies perles quand même. <img data-src=" />



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

&nbsp;Quand sa touche les boites de lobbyistes qui finance uniquement….<img data-src=" />

&nbsp;

&nbsp; <img data-src=" />

&nbsp;<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />








Nikodym a écrit :



Résistons camarade !





Vous devriez laisser quand même la possibilité de voir encore ses propres commentaires ou au lieu de supprimer le fil entier, le détacher de la niouze afin de permettre aux écoliers de se lancer des crottes de nez. Il y a de vraies perles quand même. <img data-src=" />

&nbsp;





&nbsp;On devrait créer la HADOPIC “Haute Autorité de Diffusion Original et de Protection Intégrale des

Commentaires”…<img data-src=" />

Quelqu’un aurai 10 millions a prête… <img data-src=" />

&nbsp;

&nbsp;<img data-src=" />