Il s’est passé quelques évènements ces derniers mois du côté de chez Redmond et curieusement rien n’est apparu à ce propos ici, je me suis donc décidé à mettre la main à la pâte.

NdM : Ce n’est pas une dépêche sur le Libre, certes. Il est cependant toujours intéressant de regarder ce qui se fait à côté. De plus, elle est techniquement intéressante.

Windows 8 et Windows Server 2012

Les derniers nés de la famille Windows ont été finalisés le 1^er août 2012, juste à temps pour la fête nationale suisse. Les principaux changements « visibles » dans Windows 8 sont clairement orientés grand public et sont en réponse au succès grandissant du format tablette et des périphériques « touch » (multi‐tactiles). Windows Server 2012, lui, est parti dans les nuages. L’objectif principal étant de permettre aux entreprises de se déployer dans ce que l’on appelle le « cloud ».

Windows Phone 8

Microsoft ayant assez clairement raté un train sur le marché des téléphones « intelligents » (« smartphones »), il a mis les bouchées doubles pour rattraper son retard, voire dépasser la concurrence sur certains côtés. Cela commença avec Windows Phone 7 en étape intermédiaire, et Windows Phone 8 est l’aboutissement de cet effort.

Les détails techniques de WP8 sont encore flous pour beaucoup, mais la principale nouveauté est le fait que WP8 est maintenant basé sur le cœur de Windows 8 (noyau, couche réseau, API de base…), amenant dès lors une unification complète des plates‐formes Microsoft sur un seul système d’exploitation. L’objectif étant évidemment d’optimiser le développement en interne, tirer parti de l’expérience de la division Windows dans le développement de plates‐formes, ainsi que de rendre la plate‐forme plus attrayante pour les développeurs en leur permettant de porter facilement leur travail de Windows à Windows Phone.

Visual Studio 2012

Windows 8 introduit un modèle d’application totalement nouveau, et qui dit nouveau modèle dit nouveaux outils de développement. Visual Studio 2012 amène les outils nécessaires au développement d’applications dans ce nouveau modèle, avec pour but de faciliter au maximum la tâche aux développeurs. Le but étant, évidemment, de rendre la nouvelle plate‐forme attrayante pour les développeurs.

Surface

Ces 30 dernières années, Microsoft a été connu pour son modèle à succès : il s’occupe du logiciel, vend des licences à tout constructeur qui le demande, et ne s’occupe pas du matériel. Tout cela a changé le 18 juin 2012 avec la présentation par Microsoft de Surface.

Surface est une lignée de tablettes développées en interne et en grand secret par Microsoft, avec pour objectif de concurrencer Apple dans le haut de gamme et montrer qu’il est possible d’avoir une qualité similaire à l’iPad avec Windows 8.

Cette entrée de MS dans le développement de machines a été vue par beaucoup comme un aveu que les constructeurs de PC traditionnels n’étaient soient pas capables, soit pas intéressés, à concurrencer Apple sur son segment. MS se met dès lors en compétition avec les constructeurs qui sont son principal support de vente, et il faudra voir dans les prochains mois quelles seront les conséquence de cette décision. Est‐ce que cette approche cannibalisera les ventes des constructeurs et les tournera contre MS, les forcera à améliorer leur offre, ou bien aura pour effet de pousser en avant tout l’écosystème Windows 8 et les constructeurs par là‐même ?

Hier, une porte dérobée (backdoor) a été trouvée dans le paquet PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net. Cette porte dérobée se trouve dans le fichier server_sync.php. Elle autorise l’exécution de code à distance. À noter qu’un autre fichier, js/cross_framing_protection.js, a aussi été modifié. Le paquet modifié, phpMyAdmin-3.5.2.2-all-languages.zip, semble l’avoir été le 22 septembre dernier. 400 personnes l’auraient téléchargé.

Pour le moment, un seul fichier modifié a été détecté, mais il est probable que d’autres paquets présents sur ce miroir aient été modifiés pour inclure des portes dérobées. Il est donc suggéré de vérifier et revérifier la source de vos différents paquets si vous en avez téléchargés depuis SourceForge.net dernièrement. Le miroir incriminé a été retiré de la liste des miroirs disponibles.

NdM : merci à pasBill pasGates pour son journal.

Dans le monde connecté d'aujourd'hui, beaucoup d'applications se retrouvent à communiquer à droite à gauche avec d'autres, et se mettent à stocker des informations privilégiées de valeur : numéros de carte de crédit, mots de passe, numéros de sécurité sociale, correspondance privée, etc. Sécuriser une application et s'assurer qu'elle est robuste est donc une étape importante du développement du logiciel. Cela passe notamment par ce que l'on appelle chez les mangeurs de hamburgers le threat modeling (modélisation de menaces pour les non-anglophones).

Le threat modeling s'est imposé chez Microsoft après une période que l'on peut qualifier de "noire" au début des années 2000 et a grandement aidé à améliorer la sécurité de ses logiciels depuis. Toutefois, elle n'est pas forcément des plus faciles à implémenter.

Quelles sont vos expériences sur le sujet ? Est-ce que ce processus est utilisé dans vos développements informatiques ? Si oui, quels sont vos retours d'expérience ? Si non, pourquoi ?