Se connecter / S'enregistrer

Badlock : une faille qui touche le partage de fichiers SMB sous Windows et Linux

Par - Source: Badlock.org | B 13 commentaires

Stefan Metzmacher, l’un des développeurs de Samba (l’implémentation du protocole SMB sous Linux), a récemment découvert une vulnérabilité dans ce protocole de partage de fichiers et d’imprimantes, très utilisé dans le monde de Windows.


L’équipe en charge du projet Samba travaille main dans la main avec les équipes des Microsoft pour corriger cette faille qualifiée de critique. Les patchs devraient être disponibles le 12 avril prochain, c'est-à-dire pour le désormais classique Patch Tuesday mensuel de Microsoft.

Détails révélés le 12 avril

Les détails exacts de cette vulnérabilité – baptisée Badlock - ne sont pas connus. Ils ne devraient être révélés que le 12 avril, soit le même jour que la publication des correctifs. Il faudra donc se dépêcher de les appliquer, car il faudra s'attendre à ce que des exploits fassent rapidement leur apparition une fois les détails connus.

Si cette faille est réellement critique, et selon sa portée réelle, cela pourrait poser quelques problèmes aux personnes qui utilisent toujours d’anciennes versions de Windows, non maintenues par Microsoft. Le protocole SMB est en effet présent dans Windows depuis des dizaines d’années, parfois sous d’autres noms (CIFS).

Commentaires
Interroger un expert

Votre question aux experts de la catégorie Les news : vos réactions du forum

Exemple : Android, ordinateur portable, usb, disque dur

Cette page n'accepte plus de commentaires
  • turlupin en ptard , 24 mars 2016 15:04
    Citation :
    Les détails exacts de cette vulnérabilité – baptisée Badlock - ne sont pas connus. Ils ne devraient être révélés que le 12 avril, soit le même jour que la publication des correctifs.

    Je me demande juste :

    en dehors de satisfaire l'ego de ceux qui ont découvert la faille, quelle nécessité y a-t-il à la publier ?

    :sarcastic: 
  • adanorm2000 , 24 mars 2016 15:54
    Citation :
    Citation :
    Les détails exacts de cette vulnérabilité – baptisée Badlock - ne sont pas connus. Ils ne devraient être révélés que le 12 avril, soit le même jour que la publication des correctifs.

    Je me demande juste :

    en dehors de satisfaire l'ego de ceux qui ont découvert la faille, quelle nécessité y a-t-il à la publier ?

    :sarcastic: 


    C'est un débat vieux comme le monde chez les experts de la sécurité. Faut-il dévoiler publiquement les failles ? Quand le faire ? Si l'éditeur ne réagi pas, a quel moment devient-il normal de révéler la faille ?

    Personnellement je ne suis pas pour cacher.
    Un système n'est pas sécurisé par ce qu'on n'en comprends pas l'ensemble des fonctionnement, mais au contraire lorsqu'il est parfaitement décrit. Que tout le monde est en mesure de critiquer les mécanismes. Seul les clefs sont à garder secrètes.

    Alors on me répondra : ça encourage à l'obsolescence programmée. Parfois on a besoin de garder un vieux système qui marche bien.

    Ma réponse : L'obsolescence programmée pour le logiciel n'est pas vraiment réelle. Même si les couts de licence sont parfois un problème. En général, c'est une mauvaise intégration du cycle de vie d'un produit logiciel qui crée les frustrations. Un éditeur n'a pas à assurer le suivi de ses anciennes versions sur des décennies.

    Parfois, ça marche, on a pas besoin de mieux, on voudrait laisser tourner dans un coin.
    OK, mais dans ce cas, on coupe tout les accès réseau. Si on se branche au réseau, on se tient à jour. Sinon c'est irresponsable.
  • chermositto , 24 mars 2016 18:32
    Les éditeurs ne font pas les maj au bout d'un certain temps et c'est déjà une réalité. Pourtant on a payé le produit et on pourrait dire que le produit avait des failles dès l'origine. Donc les MAJ des éditeurs ne sont pas une fleur mais seulement une correction d'erreurs existant dès l'origine du produit.
    On peut dire qu'il y aura toujours des failles mais cela c'est peut-être parce que les programmeurs sont mauvais.
    Si on admettait que les éditeurs n'ont pas de responsabilité, c'est donner le droit de vendre des produits avec des vices cachés.
    Mais on serait content dans le cas de logiciel tiers de savoir combien de temps le suivi sera effectué.
    Quand à Windows, son métier est de vendre des OS avec peu de concurrence, donc il est juge et partie.

    Exemple : il est connu que l'OS d'Apple est moins troué et que Android a été très mal codé, et Windows fournit en MAJ plusieurs fois le poids de l'OS de départ. Donc on a bien une échelle dans la qualité des logiciels. Donc les éditeurs doivent faire ce qu'il faut pour corriger LEURS propres erreurs.
  • Afficher les 13 commentaires.
  • sebzuki , 24 mars 2016 21:04
    Avec un raisonnement comme celui ci, tous les logiciels vont couter une fortune et ça n'arrangera personne... L'innovation sera tuée et les gens diront : a quoi ça sert d'avoir des logiciels parfait si personne ne peut les acheter ?
    Je rejoins adanorm2000, l'équilibre que nous avons aujourd'hui a permis l’essor des sites web sur lesquels vous mettez vos commentaires ;) 
    Ne crachons pas dans la soupe svp

  • job31 , 24 mars 2016 21:39
    Tiens un Adanorm qui passe :o 

    :hello: 
  • adanorm2000 , 24 mars 2016 22:01
    Oh un Job31 ^^

    Puisque Windows concentre à chaque fois les critiques, prenons l'exemple de Linux, qu'on accusera pas de bourrer son code d'erreurs pour vendre de la licence.
    Même s'il existe des versions LTE à long support (environ 5 ans je crois), la communauté abandonne assez rapidement chaque version. Le but c'est de concentrer ses forces sur les nouvelles fonctionnalités et surtout pas une armée de gars qui vont patcher à l'infini des noyaux quasis abandonnés.
    Linux aussi à souvent ses failles 0 day jugées critique. Si un noyau est considéré comme trop ancien pour être maintenu, la réponse de la communauté est : montez de version.

    Faire évoluer du code c'est toujours un risque quoi qu'il arrive. Un OS est un système très complexe qui même s'il est maintenu par l'équipe la plus compétente présentera toujours des risques.

    C'est comme ça...
    Ce qui compte, c'est qu'un éditeur propose une durée de vie raisonnable. 5 ans pour un os c'est correcte.
    La situation est par exemple assez scandaleuse sur certains terminaux Android dont la mise à jour est garantie moins de 2 ans. Il est légitime de râler dans ces conditions.
  • dakarau , 24 mars 2016 23:14
    " Avec un raisonnement comme celui ci, tous les logiciels vont couter une fortune "

    le problème ici, c'est qu' ils sont tous sans exception non finalisés, pleins de failles et de bugs, ça va du os aux logiciels en passant par les jeux.

    en dévoilant les failles d'un os qu'on ne colmatera pas, on nous force la main à prendre la nouvelle mouture qui est totalement inutile pour nos besoins et qui est aussi bourrée de nouvelles failles et de nouveaux bugs qui rendent souvent incompatibles certains logiciels et qui rend inutilisable certains périphériques, ce qui fait grimper sérieusement la facture!!!

    appliques maintenant ton raisonnement sur le téléviseur, la voiture ou l'ordi etc.

    ça te coutera aussi moins cher au premier achat, mais! ils devront tous être remplacés tous les deux ans...

    c'est pas de l'arnaque ça?
  • JonDol , 24 mars 2016 23:25
    Citation :
    Citation :
    Les détails exacts de cette vulnérabilité – baptisée Badlock - ne sont pas connus. Ils ne devraient être révélés que le 12 avril, soit le même jour que la publication des correctifs.

    Je me demande juste :

    en dehors de satisfaire l'ego de ceux qui ont découvert la faille, quelle nécessité y a-t-il à la publier ?

    :sarcastic: 

    Citation :
    Citation :
    Les détails exacts de cette vulnérabilité – baptisée Badlock - ne sont pas connus. Ils ne devraient être révélés que le 12 avril, soit le même jour que la publication des correctifs.

    Je me demande juste :

    en dehors de satisfaire l'ego de ceux qui ont découvert la faille, quelle nécessité y a-t-il à la publier ?

    :sarcastic: 


    Il y a aussi ceux qui gagnent leur pain en faisant ce genre de recherches. Faire un peu d'auto promo ne leur fait pas de mal, bien au contraire.
  • adanorm2000 , 25 mars 2016 08:05
    Citation :
    " Avec un raisonnement comme celui ci, tous les logiciels vont couter une fortune "

    le problème ici, c'est qu' ils sont tous sans exception non finalisés, pleins de failles et de bugs, ça va du os aux logiciels en passant par les jeux.

    en dévoilant les failles d'un os qu'on ne colmatera pas, on nous force la main à prendre la nouvelle mouture qui est totalement inutile pour nos besoins et qui est aussi bourrée de nouvelles failles et de nouveaux bugs qui rendent souvent incompatibles certains logiciels et qui rend inutilisable certains périphériques, ce qui fait grimper sérieusement la facture!!!

    appliques maintenant ton raisonnement sur le téléviseur, la voiture ou l'ordi etc.

    ça te coutera aussi moins cher au premier achat, mais! ils devront tous être remplacés tous les deux ans...

    c'est pas de l'arnaque ça?


    Ce que je décris c'est déjà la vrai vie. Tout de suites tu vas acheter un ordinateur, il y a de fortes chances qu'il soit pré-installé avec Windows 10 dessus. Il y a une page web chez Microsoft qui te donne le cycle de vie pour la version que tu achètes. En toute connaissance de cause (ou pas), en achetant l'ordinateur, tu acceptes les règles du jeu de l'éditeur sur la durée de vie officielle du produit.
    D'ici 4 ou 5 ans, la question de la fin de support va arriver pour ton ordinateur, tu auras 3 choix :
    - Acheter la mise à jour vers Windows 11 ou 12 et continuer à utiliser ton ordinateur. (qui au niveau matériel ne sera pas de première jeunesse)
    - Conserver Windows 10 mais déconnecter l'ordinateur du réseau (et on sait comme un ordinateur est plus intéressant en réseau)
    - Changer vers un système d'exploitation gratuit.

    Généralement chez Microsoft le support d'un produit grand public c'est 5 ans, très souvent le support est étendu de 2 ans.
    Pour une TV de type "smart TV", c'est le même problème que les téléphones Android, le support est trop court comparé au cycle de vie de la TV. C'est pour cela que je déconseille ce type de TV au profit d'un modèle plus simple qu'on connectera a un appareil HDMI portant l'intelligence.
    Pour une voiture, le cycle de vie est de 10 ans en moyenne. Les constructeurs automobile sont habitués à ce cycle. Et même si les premières incursions de l'informatique embarquée risques de poser des soucis de maintenance, tant que ça n'altère pas la capacité du véhicule a faire sa fonction principale de déplacement... "ça passe"

    Donc oui, le code est imparfait, on y trouvera toujours des failles, des bugs. Régulièrement on entend parler de failles de 15 ou 20 ans découverte. ça ne va pas s'arranger car il y a de plus en plus de lignes de code. Ce qui compte c'est que le fournisseur assure correctement le support sur la durée de vie qu'il a déclaré (sous réserve que cette durée de vie soit cohérente avec la vrai durée de vie du produit).
    Il y a des gens qui ne peuvent pas se permettre l’erreur. Je pense aux systèmes militaires embarqués, je pense aux satellites. Hé bien il faut garder en tête que leur parano du bug les "force" a utiliser du matériel que nous considérons comme obsolète mais qui eux les intéresse car est parfaitement éprouvé. Ils se contente du minimum, gardent leur logiciels des décennies. C'est un usage très spécial. Ce n'est pas le notre, le gens de la vrai vie qui vont regarder des chatons sur youtube.
  • Chklang , 25 mars 2016 08:08
    Citation :
    Exemple : il est connu que l'OS d'Apple est moins troué et que Android a été très mal codé, et Windows fournit en MAJ plusieurs fois le poids de l'OS de départ. Donc on a bien une échelle dans la qualité des logiciels. Donc les éditeurs doivent faire ce qu'il faut pour corriger LEURS propres erreurs.


    Ah ah ah le troll! OSx moins troué que les autres? Sur quoi tu te bases pour dire ça? Si c'est au nombre d'attaques ça n'a rien à voir. Je peux me faire un petit OS dans mon coin, bourré de faille, mais n'étant utilisé par personne il ne subira aucune attaque. Est-il pour autant sécurisé? xD

    Au contraire, renseignes-toi sur les concours de Hacking mettant en concurrence l'OS d'Apple, Windows, et Linux. Et tu verras qu'on est passé mi-2000 de :
    - Windows et OSx sont craqué de suite
    - Linux est craqué bien plus tard
    à :
    - OSx est craqué de suite
    - Windows et Linux sont craqués bien plus tard

    Des algorithmes simples et basiques en sécurité comme le chargement aléatoire de l'OS dans la RAM sont des technologies que Apple a mis plusieurs décennies à intégrer.

    Alors merci d'arrêter de dire que Apple fait des systèmes sûr... Il se base sur un système sûr et en fait une passoire!
  • dakarau , 26 mars 2016 00:24
    Citation :
    Citation :
    " Généralement chez Microsoft le support d'un produit grand public c'est 5 ans, très souvent le support est étendu de 2 ans.

    Pour une TV de type "smart TV", c'est le même problème que les téléphones Android, le support est trop court comparé au cycle de vie de la TV. C'est pour cela que je déconseille ce type de TV au profit d'un modèle plus simple qu'on connectera a un appareil HDMI portant l'intelligence.

    Pour une voiture, le cycle de vie est de 10 ans en moyenne. Les constructeurs automobile sont habitués à ce cycle. Et même si les premières incursions de l'informatique embarquée risques de poser des soucis de maintenance, tant que ça n'altère pas la capacité du véhicule a faire sa fonction principale de déplacement... "ça passe"
    Citation :


    dans ton pays c'est comme ça! vous êtes bien mal protégés, mais ici un produit de plus de 1 000$ doit avoir obligatoirement une garantie de 10 ans. c'est la loi chez moi..

    du coup un ordi que tu payes plus de 1 000$ doit avoir un minimum de 10 ans de fonctionnalité. que ton win ne donnera pas vu qu'il bugra comme il le fait sur les anciens pc...

    si c'est un os imposé par le fabricant, il fait donc parti intégrante de l'ordi, de plus comme je l'écrivais plus haut, un nouvel os prend rarement les spécificités des anciens systèmes, 10 est évolutif et tu ne verras pas de 11 ou de 12, il se met à jour sans ton accord et le moment ou ton système sera trop ancien, bien, il deviendra presque inutilisable, même si tu l'as payé 3500$.

    chez moi ça ne sera pas un gros problème, le vendeur doit garantir 10 ans de fonctionnalité, si il n'existe plus, c'est au fabricant et si lui aussi n'est plus, ce sera à celui qui a causé le dysfonctionnement du système, Ms en
    l'occurrence... chez toi! bien! c'est visiblement autre chose....
  • turlupin en ptard , 26 mars 2016 14:38
    Citation :
    C'est un débat vieux comme le monde chez les experts de la sécurité. Faut-il dévoiler publiquement les failles ? Quand le faire ? Si l'éditeur ne réagi pas, a quel moment devient-il normal de révéler la faille ?

    Salut, mon canard ! :D 

    Le problème, ici, est différent puisque la publicité sur cette "découverte" sera synchrone avec sa correction.
    Donc cette publicité ne peut prétendre exister pour faire pression sur l'éditeur. D'où ma question, faussement naïve.

    Citation :
    Personnellement je ne suis pas pour cacher.
    Un système n'est pas sécurisé par ce qu'on n'en comprends pas l'ensemble des fonctionnement, mais au contraire lorsqu'il est parfaitement décrit. Que tout le monde est en mesure de critiquer les mécanismes. Seul les clefs sont à garder secrètes.

    Nous sommes d'accord sur ce point.

    À un détail près : 99%, au moins, des utilisateurs (dont moi) sont totalement incapables de comprendre, analyser et critiquer le code d'un OS, d'un pilote ou de n'importe quel logiciel, vérolé ou pas.
    Il y a donc un hiatus important entre le principe affirmé et la réalité.

    Reste qu'il vaut mieux savoir, sans doute, quand un éditeur traîne les pieds pour corriger ses bourdes.
    Dans le cas présent, en dehors de faire la promo des "découvreurs" comme le suggère JonDol, où est l'intérêt pour le pékin de base, en dehors de lui rappeler qu'il utilise des outils potentiellement dangereux ?
    L'effet rappel durera 10 minutes et tout continuera comme avant.

    Citation :
    Parfois on a besoin de garder un vieux système qui marche bien.

    Mon "vieux" système de mai 2010 n'est pas compatible avec W10.

    C'est con pour moi, ça. Il va falloir que je change d'ordi pour avoir un OS qui sera (imparfaitement car plein de failles) maintenu à l'abri des cochonneries pendant... combien de temps ? Combien de temps avant qu'une mise à jour invisible de l'OS m'envoie un message m'informant que je dois, à nouveau changer de matériel ?

    Citation :
    Parfois, ça marche, on a pas besoin de mieux, on voudrait laisser tourner dans un coin.
    OK, mais dans ce cas, on coupe tout les accès réseau. Si on se branche au réseau, on se tient à jour. Sinon c'est irresponsable.

    C'est bien ça : on n'a pas besoin de mieux... mais on est quand même un peu obligé de changer pour se garer le cul des piqûres de fourmis.

    N'est-ce pas toi qui évoquais l'obsolescence programmée ?
  • JonDol , 4 avril 2016 18:23
    Citation :
    Citation :
    Exemple : il est connu que l'OS d'Apple est moins troué et que Android a été très mal codé, et Windows fournit en MAJ plusieurs fois le poids de l'OS de départ. Donc on a bien une échelle dans la qualité des logiciels. Donc les éditeurs doivent faire ce qu'il faut pour corriger LEURS propres erreurs.


    Ah ah ah le troll! OSx moins troué que les autres? Sur quoi tu te bases pour dire ça? Si c'est au nombre d'attaques ça n'a rien à voir. Je peux me faire un petit OS dans mon coin, bourré de faille, mais n'étant utilisé par personne il ne subira aucune attaque. Est-il pour autant sécurisé? xD

    Au contraire, renseignes-toi sur les concours de Hacking mettant en concurrence l'OS d'Apple, Windows, et Linux. Et tu verras qu'on est passé mi-2000 de :
    - Windows et OSx sont craqué de suite
    - Linux est craqué bien plus tard
    à :
    - OSx est craqué de suite
    - Windows et Linux sont craqués bien plus tard

    Des algorithmes simples et basiques en sécurité comme le chargement aléatoire de l'OS dans la RAM sont des technologies que Apple a mis plusieurs décennies à intégrer.

    Alors merci d'arrêter de dire que Apple fait des systèmes sûr... Il se base sur un système sûr et en fait une passoire!


    Ben, je n'irais pas jusqu'à appeler des trolls les gens moins informés mais pour répondre à chermosquitto (mes excuses pour le nom, je n'ai pas pu m'empêcher ;-)) je citerais un article de 2014 du très sérieux magasine de sécurité informatique MISC "l'OSX est au niveau [de sécurité] du Windows XP d'il y a 10 ans". Pas sûr qu'il ait amélioré beaucoup depuis.