Des MS-rustines sans CVE dedans

Actualités - Alerte - Posté on 17 Fév 2011 at 2:52 par Solange Belkhayat-Fuchs

Gavin Thomas, du Microsoft Response Team (MSRC) semble être un admirateur inconditionnel d’Ignace de Loyola. Et c’est avec un art consommé des circonvolutions jésuitiques qu’il nous explique pourquoi, y compris dans les rustines ne corrigeant officiellement qu’une seule faille référencée au CVE, il puisse se trouver un ou plusieurs autres correctifs non documentés. Ce sont des « silent fixes », comme il existe déjà depuis longtemps des « silent releases » de Windows et des « silent features » glissées au détour d’un Service Pack.

Car, nous explique Thomas dans son Introduction à la Vie des Bugs, il y a des trous officiels et des défauts inconnus. Inconnus du public plus exactement, mais découverts notamment par les équipes internes de Microsoft. Or, un bug « maison » reste « maison ». Pour des raisons assez ténébreuses d’ailleurs, très probablement liées à un vieux réflex propre à tous les éditeurs et qui consiste à ne pas alourdir les statistiques des problèmes de fabrication. Peut-être également parce que, dans la collection de failles exploitables que chaque éditeur découvre et met de côté pour diverses raisons (y compris les plus patriotiques visant à l’éradication des dangereux cyber pédophiles poseurs de bombes), il s’en découvre d’autres dont l’indice d’exploitation ne dépasse pas la moyenne. De la faille bas de gamme qui ne connaîtra jamais le « remote », du trou sur console locale nécessitant une lourde « interaction utilisateur » ou pire encore, pas d’exploitation du tout. Des « mauvais trous » de cinquième catégorie qu’il est préférable de combler discrètement, pour ne pas trop attirer l’attention des amoureux du reverse. Voilà pourquoi ces bugs silencieux succombent sans la moindre oraison, sans la plus petite mention au panthéon des trous, sans le moindre titre de gloire ou la plus infime évocation au détour d’un bulletin d’alerte. Ayons donc, chaque second mardi du mois, une pensée émue pour ces petits, ces obscurs, ces sans-grade qui trépassent dans le plus sordide des anonymats pour la plus grande gloire du sacro-saint ost du Trustworthy computing. Amen

Laisser une réponse