Première attaque transversale contre Vista
Une vieille faille affectant un logiciel de Computer Associates a servi de plateforme de démonstration lors d'un scénario d'attaque contre Vista. Les faits, nous apprend Security News, se sont déroulés durant la dernière RSA Conference, show sécurité longtemps demeuré confidentiel mais se transformant peu à peu en une énorme machine à grand spectacle. C'est la première attaque transverse officiellement reconnue sous Windows Vista... et probablement pas la dernière, estime Michael Mimoso. La faute en incomberait aux fournisseurs de programmes pressés par les échéances marketing et souhaitant sortir le plus vite possible un catalogue « Vista Ready », même si, pour y parvenir, il fallait court-circuiter quelques précautions de programmation vivement conseillées par Microsoft. Ce qui tend à prouver au moins une chose : ce n'est pas en intégrant des mécanismes de sécurité au sein même d'un noyau que l'on parvient à convaincre les développeurs tiers de concevoir des applications « secure by design ». Dans l'appellation « logiciel commercial », ce n'est pas nécessairement le mot « logiciel » qui est le plus important. Cette découverte, signée Core Security, a fait couler pas mal d'encre dans le milieu de la presse spécialisée. Une autre, de nature identique, risque d'en faire couler plus encore. Car, toujours selon Security News, Marc Maiffret, la voix de eEye, promet également une « non-Microsoft vulnerability to remotely compromise Vista ». L'enfer, c'est les autres pensait Sartre. Du coup, Bill Gates se trouve propulsé au titre d'existentialiste le plus riche du monde.
