Actualités
Une partie du code source de Windows en libre accès
Source : JDNet Solutions
30 915 fichiers du code source de Windows 2000 et de Windows NT4, représentant 13,5 millions de lignes de code et un poids total de 600 Mo (selon BetaNews), ont été dérobées depuis le site de Microsoft. L'information, d'abord diffusée sous forme de rumeur, a été confirmée par un porte parole de l'éditeur, Tom Pilla, lors d'une interview accordée à l'agence Associated Press. Les fichiers incriminés sont disponibles sur certains réseaux P2P et chats IRC.
Même si le code diffusé n'est que partiel, la disponibilité de ces lignes de code (des librairies, des exécutables, des documents texte, des scripts et du code non compilé) peut, entre des mains peu scrupuleuses, devenir une arme pour exploiter certaines vulnérabilités des deux OS concernés. Situation de crise chez le géant des logiciels qui a immédiatement lancé un communiqué se voulant le plus rassurant possible.
Le "travail" en aveugle bientôt révolu pour les pirates ?
"Les pirates expérimentés travaillent déjà depuis longtemps sur les vulnérabilités non patchées de Microsoft. Ils savent comment provoquer un dépassement de tampon (buffer overflow) par exemple, sans forcément avoir accès au code. Mais la diffusion de cette partie du code source va leur permettre de ne plus travailler en aveugle. Il est donc à craindre une accélération des vulnérabilités", déclare Pascal Bonnet, gérant de I2s-LaB, laboratoire de sécurité informatique spécialisé dans l'environnement Microsoft.
La fuite n'a pas eu lieu, comme on aurait pu le croire, depuis le programme Shared Source, que l'éditeur a mis en oeuvre auprès de certains Etats (comme la Russie) ou de très gros clients ou partenaires (comme l'OTAN) pour leur fournir, sous des conditions drastiques, certaines portions de son code source. Le vol a bel et bien été réalisé directement sur le réseau de Microsoft.
Les pires conséquences à craindre ?
Il est encore trop tôt pour évaluer l'ampleur de ce que Microsoft considère comme un "acte très grave de piratage industriel" mais force est de constater que la diffusion de ces lignes de code va permettre à un nombre accru de spécialistes des failles de créer virus, vers et autres attaques destinées à les exploiter. D'autant que le code contiendrait certaines zones de commentaires relatives à des failles.
