Bugs TSE très discrets chez Microsoft
Un bon bug est un bug silencieux. C'est manifestement le cas de celui qui affecte les sessions RDP (Services Terminal Server), lequel avait fait l'objet d'une première alerte dans la liste Bugtraq sous la plume d' Erik Forsberg, un technicien de Cendio en 2003. Cendio n'est pas franchement une entreprise qui découvre le protocole de Terminal Server, son nom se retrouvant même dans les pages de développement de rdesktop, le client rdp « open ». Puis ce fut au tour de Massimiliano Montoro, alias Mao, plus connu pour être le père de Cain & Abel.. là encore, pas franchement un débutant dans l'analyse de code et de cassage de Chiffre. L'ultime épisode de cette aventure épique et à rebondissement multiples peut être lu dans les colonnes de l'Enterprise Systems Journal, l'ESJ, qui révèle qu'en fin de compte, le bug aurait été reconduit pour un nouveau mandat, puisque la version 6.0 du client RDP serait également sensible aux attaques man in the middle, et pourrait prendre la vessie d'un certificat auto-signé pour la lanterne d'une véritable authentification de serveur. Tant que l'usage du protocole TSE était limité aux entreprises cherchant à réaliser des collocations d'applications sur des fermes de serveurs locaux, ce n'était par trop grave, explique l'auteur. Mais de nos jours, mode de l'informatique « nomade et communicante » oblige, il faut bien prendre en compte ce genre de risque. En France, il n'est pas rare de se faire proposer du TSE sur terminaux mobiles sous prétexte qu'il est « inviolable » et « tellement propriétaire qu'il n'intéresse pas les hackers ».
