Microsoft est connu pour ses engagements contre les méchants qui postent des failles de sécurité avant que le correctif ne soit disponible et encourage les découvreurs d'une faille a prévenir MS avant toutes choses. Ce qui est plus drole c'est que cela permet à MS de retarder ou de refuser de corriger une faille de sécurité.

Le dernier gag en date concerne le bouton « précédent » d'Internet Explorer. Un bogue permet de s'affranchir des "préférences sécurité" en vigueur. Il a été découvert et signalé en novembre 2001 à MS. En février 2002, MS a daigné répondre au découvreur que « pour exploiter la faille, il fallait que l'auteur malveillant "oblige" l'internaute à faire un retour en arrière, ce qui ne constituerait pas un scénario à risque pour les utilisateurs qui se servent correctement de leur navigateur ». Bref en langage clair « le correctif, tu peux l'attendre longtemps ».

On voit bien comment certaines boites prétendent faire de la sécurité. En cas de découverte, ne signalez rien à l'entreprise, postez directement sur Bugtraq vous avez plus de chance que cela force l'editeur à sortir un patch.

Note du modérateur : le dernier paragraphe ne reflète que l'avis de son auteur. La procédure habituelle est d'informer l'éditeur et s'il n'a toujours fait rien après un certain délai, de rendre l'information publique.

• La description de la faille (1 clic)
• Le test (0 clic)

Un article intéressant sur Fortune.com décrit les différentes méthodes utilisées par Microsoft afin de se mettre dans la poche le gouvernement américain.

On apprend ainsi qu'en plus des importants montants versés pour différentes "causes" (4,6 million de $ en 2000 à différents candidats, républicains et démocrates confondus), ils utilisent des tactiques plus subtiles afin de s'attirer la sympathie des hommes politiques, telles qu'en expliquants les nouvelles technologies aux politiciens perdus dans le jargon informatique (comme c'est gentil de leur part...)

Notez aussi le petit bandeau "Sponsored by Microsoft" en haut de l'article ;)

Note du modérateur : un cours de lobbying, ici appliqué par MS, mais on peut imaginer que les autres font de même...

• L'article (0 clic)

Apparemment, aucune des sociétés contactées par Microsoft ne s'est résolue à utiliser les services Hailstorm (l'ensemble de services web permettant de stocker les données personelles des utilisateurs sur un serveur Microsoft et donc d'y accéder sur n'importe quel ordinateur). Microsoft a donc décidé d'enterre le projet.

Si le projet en restait là, c'est la plus inquiétante partie de .NET qui disparait. C'est à mon avis un très grave échec pour Microsoft et un signe de la défiance croissante que l'entreprise suscite

• Article du NY Times (attention enregistrement gratuit à prévoir) (1 clic)
• Article de The Register (0 clic)

Selon Netcraft, les serveurs de Wehavethewayout.com, un site censé persuader des entreprises de migrer du système d'exploitation Unix vers Windows, tournaient sous FreeBSD avec Apache comme serveur web.

• La dépêche sur Yahoo (2 clics)

Microsoft, en partenariat avec Unisys, va lancer une campagne de publicité anti-Unix, dont le thème est "we have the way out". Les points soulevés sont: le manque de flexibilité d'Unix, la nécessité d'embaucher des experts à prix d'or, et le coût de maintenance d'environnements de plus en plus complexes.

Indépendement de la mauvaise foi habituelle de Microsoft, il est intéressant de noter de noter la présence d'Unisys dans cette campagne. En effet, ce constructeur propose le seul serveur Windows 32 processeurs du marché. Il semblerait donc que Microsoft cherche à entrer dans la cours des grands en s'attaquant au marché des serveurs haut de gamme.

• La nouvelle sur News.com (1 clic)

La version Shared Source du CLI et du compilateur C# est disponible en version Beta sur FreeBSD !
Vous pouvez dès à présent télécharger l'archive depuis MSDN, et la recompiler sur FreeBSD 4.5 .

• The Microsoft Shared Source CLI Implementation (0 clic)
• A Walking Tour of Microsoft's Shared Source CLI (O'Reilly) (0 clic)

Il semble que Microsoft, dans l'espoir de ne pas voir abandonner ses systèmes, notamment dans les administrations, prévoit de rendre disponible une part ("plus" dixit la dépêche sur eWeek) du code de certaines de ses applications, dans le but de prévoir un eplus grande interopérabilié entre ses systèmes et ceux des autres...

De même, ils annoncent la mise à disposition des spécifications de plus de protocoles, ce qui promet une plus grande interopérabilité entre Windows et, disons, notre OS favori ^_^...
Par exemple, souvenons-nous de la mise à dispositon des spécifications de l'implémentation très particulièr de Kerberos, donnée régulièrement en exemple de la mauvaise volonté de la firme de Redmond en ce qui concerne l'opérabilité, notamment par l'équipe de développement de Samba.

Ne nous réjouissons cependant pas trop vite : il est fait allusion à des méthodes "raisonnables et non-discriminatoires" de divulgation, et à la possibilité "pour d'autres entreprises" d'utiliser leurs protocoles, ce qui pourrait sous-entendre une incompatibilité volontaire avec certaines licenses comme la GNU GPL. Wait and see...

Merci à LinuxToday pour la new

NdM : les promesses n'engagent que ceux qui y croient. Attendons de voir.

• La new sur LinuxToday (avec des liens intéressants) (0 clic)
• L'article sur eWeek (0 clic)

Ce projet cherche à mutualiser les efforts pour produire des bibliothèques standard pour la lecture/écriture du format Excel, mais aussi pour la "techno OLE" et le codage propre à Excel.

Il existe néanmoins une implémentation Java de OLE2 et des bibliothèques sur les formats XLS/DOC : POI (partie de Jakarta).

La discussion suite à l'annonce du projet sur Advogato est très instructive pour les fervents défenseurs de la coopération entre les projets de bureautique.

L'échange de données dans le tuyau Excel n'est cependant pas tout : il manquera surtout les applications qui tournent sur Excel...

• The Chicago Project: Making access to Excel data easy (1 clic)
• SF.Net : The Chicago Project (0 clic)
• POI (Jakarta) (0 clic)

Il y a quelques temps, Microsoft a déposé une plainte contre la société Lindows. La plainte portait sur le nom Lindows, trop similaire à Windows, et qui pourrait, selon Microsoft, induire les utilisateurs en erreur ...

Mais voilà, cette plainte a permis à un juge de remettre sur le tapis l'acquisition suspecte du nom Windows par Microsoft ! En effet, Microsoft avait tenté de déposer Windows en 90 mais cela lui avait été refusé car le nom est commun dans le domaine informatique.

Alors, dans ce cas, comment Microsoft a-t-il pu déposer le nom Windows ? Le suspense se termine dans l'article Yahoo (voir URL).

P.S. : Lindows est une société dont le produit phare est un système Linux mettant en oeuvre la possibilité de faire tourner des applis Windows sous Linux, avec notament un paramétrage unique. Pour l'instant, rien à l'horizon si ce n'est que des déboires juridiques (la page news est composé à 99,9% de news juridiques).

• Un juge américain s'interroge sur la validité de la marque Windows (0 clic)
• VaporWare Lindows (0 clic)

En regardant en détail la liste des applications utilisant Zlib, on trouve quelques produits Microsoft (DirectX 8.0, Frontpage, IE...) ainsi que d'autres produits commerciaux (Adobe Acrobat, Macromedia Shockwave, Lotus Notes...). A priori, eux aussi peuvent être touchés par le "double free"... Messieurs, mesdames, à vos service-pack :-)

D'autre part, j'en ai profité pour vérifier la licence de Zlib. A priori, ce n'est pas incompatible avec des licences propriétaires mais les applications doivent faire référence à la Zlib. Est-ce réellement respecté ? A titre d'exemple, je viens de faire une recherche sur les fichiers d'Acrobat Reader, la bibliothèque utilise bien la Zlib mais aucun document n'y fait référence...

• Zlib (0 clic)
• C|net (0 clic)
• /. (0 clic)

Ca me parait tellement gros et personne n'a apparemment daigne' poster la nouvelle : La licence d'utilisation de WindowsXP ne permet pas qu'on prenne le controle du dit Windows avec un logiciel qui sort d'ailleurs que de la firme redmondienne.

"Except as otherwise permitted by the NetMeeting, Remote Assistance, and Remote Desktop features described below, you may not use the Product to permit any Device to use, access, display, or run other executable software residing on the Workstation Computer, nor may you permit any Device to use, access, display, or run the Product or Product's user interface, unless the Device has a separate license for the Product."

Comprenez : VNC ciao bye bye !

Cependant, le "Remote Desktop features" dont il est question aussi dans cette licence pourrait laisser le champ libre a 'rdesktop', qui est un client Libre pour le terminal service Windozien. Pour ce qui ne connaissent pas : avec le terminal service vous ne prenez pas le controle de la session de l'utilisateur actuellement logge' mais vous ouvrez une nouvelle session graphique. C'est beaucoup plus pratique que vnc tant que vous ne souhaitez aider l'utilisateur que vous avez au bout du fil.
rdesktop n'est pas d'une stabilite exemplaire mais il marche...

• News sur slashdot (4 clics)
• News sur infoworld (2 clics)
• rdesktop (4 clics)

Alors qu'une "faille" est découverte dans Windows Media Player, permettant à Microsoft de savoir quels DVD ont été visionnés avec Media Player, AOL pense de plus en plus sérieusement à remplacer Internet Explorer par Gecko dans son nouveau logiciel de navigation.
Microsoft semble donc de plus en plus attaqué dans les deux domaines qu'il veut contrôler, le Web et le multimédia. Sans compter que le procès anti trust de Microsoft s'est ouvert aujourd'hui lundi.

• La "faille" Win Media Player (0 clic)
• AOL se convertit à Gecko (0 clic)
• Ouverture du procès Microsoft (0 clic)

On parle beaucoup de Microsoft et de ses problèmes aux USA, mais il est intéressant de noter que la commission européenne traite également le problème et a ouvert une enquête antitrust il y a trois ans.

Microsoft tient le même discours qu'outre atlantique et essaye de gagner du temps. Un article sur Boursorama évoque le problème :

"Microsoft a déclaré mardi avoir offert d'apaiser la querelle qui l'oppose à la Commission européenne en proposant de révéler certaines informations considérées par la Commission comme injustement tenues secrètes pour compliquer la tâche de ses concurrents."

Note du modérateur : merci à JB qui a proposé une nouvelle similaire et ajoute le lien vers Yahoo! News.

• La news sur Boursorama (0 clic)
• Article sur Yahoo! News (0 clic)

Selon Microsoft, les sanctions possibles du procès qui l'oppose à 9 états Américains pourraient aller jusqu'à retirer Windows XP et Windows 2000 du marché. Toujours selon Microsoft, tout cela ne serait qu'une attaque contre l'innovation.

• Le Monde (0 clic)

Lu sur 01net :

"Baptisé W32/Sharpei@mMM, le premier virus attaquant l'infrastructure .Net et écrit en langage C# a été créé par une jeune fille de 17 ans."

Pas de grands nouveautés, hormis l'ajout d'un composant .Net à un script VBS. Le risque de diffusion de ce vers est faible. La politique de "Sécurité" promise par Bill Gates commence bien.

• 01 net (2 clics)
• Plus d'infos (0 clic)

Le titre est un peu fort, mais la nouvelle est intéressante :
Windows Media enverrait la liste des DVD qu'il a lu à Microsoft, qui peut ainsi s'en servir pour toutes opérations de marketing ou autre.
Ceci n'était pas mentionné sur le produit avant qu'une tierce personne ne le révèle. Sans doutes encore un "bug" qu'un développeur aura programmé sans faire attention :->

Je vous laisse juger :

• Depeche Yahoo (0 clic)

Lu sur Linux-NC
"Suite à une motion des neufs Etats poursuivant Microsoft pour violation de la loi antitrust, le géant de Redmond se voit obligé de livrer les sources de Windows. Ainsi en a décidé la juge chargée du dossier. Une requête justifiée mais qui risque de rester vaine compte tenu du délai très court accordé avant la reprise des audiences, prévue le 11 mars."

Note du modérateur : précision utile, il s'agit de dévoiler le code aux plaignants, les 9 états, et non pas à tous.

• L'article sur Linux NC (2 clics)
• L'article sur Yahoo (2 clics)

Libération à réalisé un entretien avec Bill Gates lors de son passage à Paris, mais sans lui cirer les pompes.

Extrait:


"...La dernière version de Windows fut avant tout distinguée comme la première à ne pas planter à tout bout de champ. Plutôt que de se féliciter qu'un produit ne tombe plus en panne, ne serait-il pas plus juste de le critiquer parce qu'il plante depuis plus de dix ans?
"

• L'entretien sur Libé (0 clic)

J'ai un ami qui veut s'acheter un portable (10000F a peu pres) pour y installer (sur mon conseil) Linux. Le problème est que ce portable (un Compaq) est vendu avec XP Pro et que le revendeur lui dit qu'il ne peut pas séparer le portable de l'OS. Ma question est : qu'elle est la méthode la plus efficace pour obtenir ce remboursement ?

Note du modérateur : Quelqu'un a déjà eu une expérience similaire ? Que faire dans ce cas ? Que dit le droit français d'une telle situation ? (URLz bienvenues).

• Précédente discussion sur ce thème (1 clic)
• Centre de Détaxe Windows (0 clic)

Sur le site du "Mouv'" (la radio FM), un extrait de la chronique du jour concernant "Le Multimedia" par Pascal L'Esbrouff est disponible en téléchargement. Voici la retranscription de la bande sonore mise en lien (*).

Rien de bien révolutionnaire mais ça fait toujours plaisir de voir que les média "non Linux" passent ce type d'info.

(*) note du modérateur : la retranscription (gentiment tapée par un anonyme, *pas par moi*) est un peu longue, je la passe en commentaire.

• Le mouv : chronique sonore fichier ram (0 clic)
• Le site du Mouv (0 clic)
• La même news sur "The Register" (0 clic)

Voici un communiqué commun avec LinuxFrench sur les problèmes posés par les ventes forcées de système d'exploitation sur vos ordinateurs. En effet quoi de pire que de ne pas pouvoir acheter un PC sans système d'exploitation sans aller chez le commerçant du coin ? Lisez ce communiqué pour connaître un bout de l'envers du décor.

• LinuxFrench (2 clics)
• Communiqué (1 clic)

Après s'être illustré pour avoir mis en place un système de fausses lettres de soutien (dont certains expéditeurs étaient morts!), Microsoft n'a pas trouvé mieux que de détourner, à son avantage, un sondage de ZDnet afin de faire croire à un engouement pour .NET

En bref, ce sondage qui opposait Java et .NET donnait Java en tête avant les vacances de Noel. Et au cours de ces vacances, brusque changement de situation : .NET passe devant avec 75% ! Après enquete, ZDnet a tout simplement découvert que cet excédent était arrivé du domaine microsoft.com, malgré des scripts sensés empecher les abus. Et ils ont trouvé de tout : votes multiples, utilisation manifeste de scripts, et incitation au vote par l'envoi de mails contenant l'URL du vote pour .NET

Si vos arguments contre Microsoft semblaient obscurs à certains de vos interlocuteurs, en voici au moins un de concret permettant d'illustrer ce que sont leurs méthodes. Car l'action ne provient pas de « fans » de Microsoft (ça c'est quelque chose qui arrive chez Linux aussi!), mais est bien commanditée par Microsoft.

• L'article ZDnet (0 clic)
• Source: NewsForge (0 clic)

En 1999, Microsoft a déposé un brevet pour une meilleure gestion des droits d'auteurs (on va dire pour se mettre les puissances du multimédia un peu plus dans la poche...).

"Globalement, un fichier musical ne pourra être chargé en mémoire que si le logiciel qui le lit est sécurisé. L'ouverture simultanée d'une application non sécurisée videra automatiquement la mémoire, interdisant alors l'accès aux données. Plus fort, les informations seront cryptées avant d'être envoyées à la mémoire afin d'interdire leur accès en clair. Enfin, l'utilisateur - du moins la machine utilisée - sera soumis à une authentification indispensable pour accéder aux fichiers numérisés. Authentification renforcée par l'usage d'une horloge sécurisée qui interdirait la modification des droits limités dans le temps."

S'ajoute à celà des fonctions intégrées au matériel (BIOS) pour empêcher le démarrage d'OS "ne respectant pas les droits d'auteurs".

Et bien voilà, ce brevet vient d'être accepté le 11 décembre dernier.
Bref, que du bonheur...

On devrait déposer un brevet pour empecher le démarrage des OS non-libres ;-).

Merci à SVM pour l'info.

• L'info sur le site de SVM (0 clic)
• Le brevet Microsoft (0 clic)

Vu sur CNET.
Microsoft a demandé à une cour de justice Américaine de forcer la société Lindows à changer de nom. LindowsOS est une distribution GNU/Linux qui devrait sortir dans le courant de l'année prochaine. Une preview devrait être disponible la semaine prochaine. Son but avoué, comme son nom l'indique, est de faire tourner le maximum de logiciels Windows grâce à Wine. Microsoft avance l'argument que la société Lindows.com tente "de semer la confusion entre Lindows et Windows" et précise que "nous ne demandons pas à la cour de forcer la société à arrêter le développement de ses produits".

La cour devra trancher si le nom est réellement ambigü, ou si le but de cette distribution justifie qu'elle s'appelle ainsi.

• La news sur CNET (1 clic)
• Lindows.com (0 clic)

La fonction d'Universal Plug and Play (UPNP) de Windows XP comporte de multiples vulnérabilités qui permettent d'exécuter des commandes sous l'identité system (niveau normallement inaccessible pour un utilisateur), et ceci à distance.


Toutes les installations de Windows XP par défaut sont affectées, ainsi que certaines version de windows Me et 98.

• L'alerte d'E-eye (0 clic)
• Microsoft Security Bulletin (0 clic)