Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Boutiques Microsoft : pas plus de 180 jours pour corriger une faille

Sinon, la porte

Boutiques Microsoft : pas plus de 180 jours pour corriger une faille

Le 10 juillet 2013 à 16h33

Microsoft vient d’annoncer une modification importante des conditions de sécurité pour plusieurs de ses boutiques en ligne, y compris le Windows Store. Effective dès maintenant, elle prévoit notamment que les applications tierces auront interdiction de laisser filer des failles de sécurité pour une période supérieure à 180 jours.

windows 8.1 store

 

Dans une annonce publiée hier, Microsoft détaille une nouvelle politique de sécurité pour l’ensemble des applications tierces hébergées sur ses boutiques en ligne. Cela concerne donc le Windows Store de Windows 8 et 8.1, le Store de la plateforme Windows Phone mais également l’Office Store et l’Azure Marketplace.

 

L’éditeur profite de la publication des dernières mises à  jour de sécurité hier pour imposer une condition : en cas de détection d’une faille importante ou critique, l’éditeur ne devra pas dépasser un délai de 180 jours pour colmater la brèche. Ce délai n’est valable que dans le cas où ladite faille ne serait pas déjà exploitée massivement. Si tel est le cas, ou si l’éditeur dépasse ce délai de six mois, l’application pourra être retirée de la boutique.

 

Microsoft note toutefois que des cas rares peuvent exister où un éditeur aura besoin d’un délai supplémentaire. La firme se dite prête à mettre la main à la pâte pour accélérer le processus si nécessaire.

 

Maintenant, une question se pose : Microsoft pourrait-il utiliser le fameux « kill switch » qui permet de supprimer à distance toutes les copies installées d’une application si celle-ci se révèle trop dangereuse à cause d’une faille non corrigée ? Nous l’avons posée à Microsoft et nous attendons actuellement une réponse de l’éditeur.

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Y a que moi que ça ne choque pas plus que ça ? (si on enlève le kill switch qui lui est très discutable)



Je vois dans la grande distribution c’est la même chose (et pour moi le store c’est de la distribution).



Prenons un exemple : un fournisseur met en distribution dans ton magasin un barbecue au gaz, après nu mois de vente tu détectes un problème dans l’un des modèles qui a les pieds qui lachent régulièrement. Tu préviens le fournisseur que s’il ne fixe pas ce problème dans les six mois il ne sera plus vendu dans ce magasin.



Ouais ça me choque pas.



Parce que bon au final ton logiciel, même s’il n’est plus installable par le store restera installable normalement hein…

votre avatar

c’est Sun Microsystems qui va être content <img data-src=" />

votre avatar







Groumfy a écrit :



En entreprise, on n’utilise “pas encore” de stores. Ca pourrait arriver.



Sur de l’intranet, je te garantie et certifie qu’on a du vieux “plus maintenu”, et “en cours de refonte”.



Peut être qu’on crie avant d’avoir mal, mais je n’apprécie pas le procédé. On se prend suffisamment la tête avec tout un tas de connerie, c’est pas pour se faire chier dans les bottes par le fournisseur d’un OS.





Les applications sur le store d’une entreprise ne sont pas gérées comme le store grand public


votre avatar







XMalek a écrit :



Y a que moi que ça ne choque pas plus que ça ? (si on enlève le kill switch qui lui est très discutable)



Je vois dans la grande distribution c’est la même chose (et pour moi le store c’est de la distribution).



Prenons un exemple : un fournisseur met en distribution dans ton magasin un barbecue au gaz, après nu mois de vente tu détectes un problème dans l’un des modèles qui a les pieds qui lachent régulièrement. Tu préviens le fournisseur que s’il ne fixe pas ce problème dans les six mois il ne sera plus vendu dans ce magasin.



Ouais ça me choque pas.



Parce que bon au final ton logiciel, même s’il n’est plus installable par le store restera installable normalement hein…





Tiens une comparaison avec un barbecue !



Ça change des analogies automobiles mais c’est tout aussi foireux <img data-src=" />


votre avatar







Konrad a écrit :



Tiens une comparaison avec un barbecue !



Ça change des analogies automobiles mais c’est tout aussi foireux <img data-src=" />







C’est surtout une comparaison avec la grande distribution, et ce n n’est pas si foireux que ça, je bosse justement pour du logiciel et de la grande distribution :p


votre avatar

[quote=“hadoken”]Microsoft patche ses failles avant 6 mois hein… Le tuesday patch c’est tous les mois. [/quote]

Je commente jamais (d’ailleurs c’est mon premier commentaire sur PCI depuis des années que je traîne ici) mais là c’est trop gros.



C’est sûr, c’est pas comme si MS était connu pour ne corriger ses failles que plusieurs années après leur découverte, seulement lorsqu’elles commencent à être exploitées publiquement… <img data-src=" />

votre avatar







XMalek a écrit :



C’est surtout une comparaison avec la grande distribution, et ce n n’est pas si foireux que ça, je bosse justement pour du logiciel et de la grande distribution :p





Ben un logiciel est immatériel, peut être gratuit ou payant, s’il y a une faille il peut y avoir danger pour des données personnelles. Le développeur n’a aucune obligation de qualité, cf les licences qui contiennent généralement la phrase : «ce logiciel est fourni sans garantie…». En cas de défaut l’uilisateur l’a dans le baba, si le développeur ne fournit pas de patch c’est rare de réussir à se faire rembourser…



Un barbecue est un bien matériel, c’est forcément payant, s’il y a un problème les données personnelles ne risquent rien… (au pire en cas de dysfonctionnement grave il peut y avoir brûlure ou mort d’homme, mais c’est secondaire). Le constructeur a une obligation de qualité pour pouvoir vendre son matériel, et doit garantir le matériel vendu, en cas de défaut il doit être remplacé.



Bref deux situations qui ont quelques similitudes, mais qui sont quand même très éloignées…


votre avatar







XMalek a écrit :



C’est surtout une comparaison avec la grande distribution, et ce n n’est pas si foireux que ça, je bosse justement pour du logiciel et de la grande distribution :p







Tu développais des soft chez Auchan Telecom ?

(Ouai, bon ok, j’vais me coucher)


votre avatar







hadoken a écrit :



Microsoft patche ses failles avant 6 mois hein… Le tuesday patch c’est tous les mois.









BlackKrystal a écrit :



[Edit] Oh wait, j’ai rien dit, j’ai oublié mes cours de calcul mental <img data-src=" />



N’empêche,6 mois, ça fait long pour une faille…









Reznor26 a écrit :



Mais 6 mois c’est déjà énorme globalement…

J’ose espérer que les éditeurs avaient pas besoin de ça pour y penser. <img data-src=" />





Pour ceux qui se disent que 6 mois c’est énorme (CTB proof),

sachez qu’une faille connue et non colmatée existe dans windows depuis 17 ans.


votre avatar







psn00ps a écrit :



Pour ceux qui se disent que 6 mois c’est énorme (CTB proof),

sachez qu’une faille connue et non colmatée existe dans windows depuis 17 ans.





??



C’est celle de la NSA ? <img data-src=" />


votre avatar







psn00ps a écrit :



Pour ceux qui se disent que 6 mois c’est énorme (CTB proof),

sachez qu’une faille connue et non colmatée existe dans windows depuis 17 ans.





Ca a été découvert il y a plus de 3 ans. Et la faille a été corrigée.


votre avatar







vampire7 a écrit :



Ca a été découvert il y a plus de 3 ans. Et la faille a été corrigée.







Oui 17ans après


votre avatar







ff9098 a écrit :



Oui 17ans après





Elle a été découverte 17 ans après, mais corrigée dans la foulée une fois découverte


votre avatar







Tolor a écrit :



Elle a été découverte 17 ans après, mais corrigée dans la foulée une fois découverte







découvert par qui?


votre avatar







ff9098 a écrit :



découvert par qui?





Un ingé de chez Google.


votre avatar

Ca, c’est une autre faille :pcinpact.com PC INpact



Celle dont on parle est ici :pcinpact.com PC INpactOu alors, après PRISMGate, PCIGate ? <img data-src=" />

votre avatar

Franchement c’est l’hopital qui se fout de la charité, à moins qu’il ne retire leurs propres applications eux-mêmes… Mais ça j’ai du mal à y croire.

votre avatar







lordphoenix a écrit :



Franchement c’est l’hopital qui se fout de la charité, à moins qu’il ne retire leurs propres applications eux-mêmes… Mais ça j’ai du mal à y croire.





Microsoft patche ses failles avant 6 mois hein… Le tuesday patch c’est tous les mois.


votre avatar







lordphoenix a écrit :



Franchement c’est l’hopital qui se fout de la charité, à moins qu’il ne retire leurs propres applications eux-mêmes… Mais ça j’ai du mal à y croire.







Généralement les gros éditeurs ne rigole pas avec ces questions, il est tout à fait possible qu’ils retirent une applications maison le temps de corriger la faille je pense que ça se fait déjà.



Sinon en quoi l’hôpital se fout-il de la charité? je n’ai pas entendu parler de problèmes de sécurité dans les applis MS sur leur store (je parle bien des applis ModernUI)?


votre avatar







lordphoenix a écrit :



Franchement c’est l’hopital qui se fout de la charité, à moins qu’il ne retire leurs propres applications eux-mêmes… Mais ça j’ai du mal à y croire.





les logiciels microsoft sont en général de bonne facture après le fond est discutable propriétaire tout ça


votre avatar







hadoken a écrit :



Microsoft patche ses failles avant 6 mois hein… Le tuesday patch c’est tous les mois.







Quelle réactivité !



EDIT : sinon pour ne pas troller, je trouve ça abusif de désinstaller les applications à distance, qu’ils informent oui, mais ils ne devraient même pas avoir la possibilité de faire ça. Et ça vaut aussi pour Google et Apple. J’espère que Mozilla ne peut pas le faire. Je me demande si Google peut contrôler un mobile sous Cyanogen si les Google Apps ne sont pas installées aussi.


votre avatar







Flo_1 a écrit :



Quelle réactivité !



EDIT : sinon pour ne pas troller, je trouve ça abusif de désinstaller les applications à distance, qu’ils informent oui, mais ils ne devraient même pas avoir la possibilité de faire ça. Et ça vaut aussi pour Google et Apple. J’espère que Mozilla ne peut pas le faire. Je me demande si Google peut contrôler un mobile sous Cyanogen si les Google Apps ne sont pas installées aussi.





…..

Du coup je précise : les failles critiques (0-day et co) sont corrigées immédiatement via des patches diffusés hors du cycle tuesday patch bien évidemment.


votre avatar

[Edit] Oh wait, j’ai rien dit, j’ai oublié mes cours de calcul mental <img data-src=" />



N’empêche,6 mois, ça fait long pour une faille…

votre avatar







Flo_1 a écrit :



Quelle réactivité !



EDIT : sinon pour ne pas troller, je trouve ça abusif de désinstaller les applications à distance, qu’ils informent oui, mais ils ne devraient même pas avoir la possibilité de faire ça. Et ça vaut aussi pour Google et Apple. J’espère que Mozilla ne peut pas le faire. Je me demande si Google peut contrôler un mobile sous Cyanogen si les Google Apps ne sont pas installées aussi.





Si un Android n’a pas de lien avec Google, je vois pas trop comment ?


votre avatar

On est en pleine mascarade.



Microsoft et d’autres ont subis des vieux 0-day, qui dataient de plus de 6 mois. Même s’ils mettent peu de temps à réagir, dans le concept, ça dérange.



En entreprise, on peut utiliser des vieux softs potentiellement troués, mais dans des environnements cloisonnés. Si on veut réinstaller ou restaurer une plateforme, comment fait-on avec ces concepts de stores ?



Jouer la transparence, et afficher une alerte avant installation serait préférable.



Si en plus, comme le cite l’actu, il se décide un jour, de jouer avec le “kill switch”…



On est en plein dans le logiciel privateur.

votre avatar

Je vois plutôt la solution que Microsoft pourrait simplement la supprimer du store si après 180 jours rien n’est fait. Après la question est surtout quid des gens ayant déjà installée, l’application présentant des failles ? Parce que je vois bien des gens se retourner contre Microsoft pour ne pas les avoir prévenus du risque de telle ou telle application, de même si le “kill switch” est utilisé. A la limite, il pourrai lancer une sorte de “kill switch” informant du risque présenté par telle application et nous demandant si on souhaite la supprimer ou la laisser tout en étant conscient de risque encouru en utilisant l’app. Comme ça Microsoft aura pu informer les utilisateurs tout en ce dédouanant auprès de ceux qui l’auront conservé.

votre avatar

Je sais pas si c’est voulu, mais <img data-src=" /> pour le sous titre <img data-src=" />

votre avatar

Mais 6 mois c’est déjà énorme globalement…

J’ose espérer que les éditeurs avaient pas besoin de ça pour y penser. <img data-src=" />

votre avatar







Groumfy a écrit :



On est en pleine mascarade.



Microsoft et d’autres ont subis des vieux 0-day, qui dataient de plus de 6 mois. Même s’ils mettent peu de temps à réagir, dans le concept, ça dérange.



En entreprise, on peut utiliser des vieux softs potentiellement troués, mais dans des environnements cloisonnés. Si on veut réinstaller ou restaurer une plateforme, comment fait-on avec ces concepts de stores ?



Jouer la transparence, et afficher une alerte avant installation serait préférable.



Si en plus, comme le cite l’actu, il se décide un jour, de jouer avec le “kill switch”…



On est en plein dans le logiciel privateur.





En entreprise, on utilise pas les “stores” d’applications pour mettre en place un environnement de production.

Et surtout pas des “vieux softs”.



Apres, il reste detestable de se voir sucrer l’appli de notre appareil, parce que Microsoft a decidé de le retirer du store (quelque soit la raison, cf affaire AdAway sur le store Android).



Quant a la news, 6 mois pour corriger une faille, ca laisse largement le temps au dev de revenir de vacances, de checker ses mails, et de jeter un coup d’oeil au code (qu’il aura de toute facon bien commenté, et donc la correction sera facile… <img data-src=" />)



votre avatar

Pour les 6 mois il faut comprendre qu’il y aura toujours beaucoup plus d’utilisateurs de Windows que n’importe quelle application. De plus les applications métro sont sandboxées. Ca limite pas mal l’exploitation comparé à une application Win32. Mais on peut toujours accéder aux données de l’application. Du coup 6 mois c’est pas forcément si long.



Par contre je me souviens d’une étude il y a quelques années qui prédisait que les attaques se reporteraient a terme sur les applications les plus utilisés à cause du nombre de technologie de défense dans Windows qui rend de plus en plus difficile une exploitation. Visiblement on y est <img data-src=" />

votre avatar







Guiguiolive a écrit :



En entreprise, on utilise pas les “stores” d’applications pour mettre en place un environnement de production.

Et surtout pas des “vieux softs”.



Apres, il reste detestable de se voir sucrer l’appli de notre appareil, parce que Microsoft a decidé de le retirer du store (quelque soit la raison, cf affaire AdAway sur le store Android).



Quant a la news, 6 mois pour corriger une faille, ca laisse largement le temps au dev de revenir de vacances, de checker ses mails, et de jeter un coup d’oeil au code (qu’il aura de toute facon bien commenté, et donc la correction sera facile… <img data-src=" />)





En entreprise, on n’utilise “pas encore” de stores. Ca pourrait arriver.



Sur de l’intranet, je te garantie et certifie qu’on a du vieux “plus maintenu”, et “en cours de refonte”.



Peut être qu’on crie avant d’avoir mal, mais je n’apprécie pas le procédé. On se prend suffisamment la tête avec tout un tas de connerie, c’est pas pour se faire chier dans les bottes par le fournisseur d’un OS.



votre avatar







BlackKrystal a écrit :



Ca, c’est une autre faille :pcinpact.com PC INpact



Celle dont on parle est ici :pcinpact.com PC INpactOu alors, après PRISMGate, PCIGate ? <img data-src=" />





Non, on parle bien de la même faille, celle de 2010 et qui avait 17 ans a aussi été trouvée par un ingénieur de chez Google

en.wikipedia.org Wikipedia


votre avatar







syam92 a écrit :



Je commente jamais (d’ailleurs c’est mon premier commentaire sur PCI depuis des années que je traîne ici) mais là c’est trop gros.



C’est sûr, c’est pas comme si MS était connu pour ne corriger ses failles que plusieurs années après leur découverte, seulement lorsqu’elles commencent à être exploitées publiquement… <img data-src=" />







Faut bien laisser le temps à la NSA de l’exploiter et d’en trouver de nouvelles <img data-src=" />


votre avatar



Microsoft pourrait-il utiliser le fameux « kill switch » qui permet de supprimer à distance toutes les copies installées d’une application si celle-ci se révèle trop dangereuse à cause d’une faille non corrigée ?



Effectivement, c’est une solution qui pourrait être envisagée au bout des 180 jours. Personnellement je la trouve un peu radicale, je n’aime pas qu’un éditeur décide à distance ce qui peut être installé ou désinstallé sur ma machine…



Sinon dès qu’une faille est révélée, il serait peut-être possible d’avoir un message du système disant «telle application peut présenter des risques»…

Boutiques Microsoft : pas plus de 180 jours pour corriger une faille

Fermer