Windows XP, NT 3.5 et 4, 2000, CE, Embedded : les codes sources auraient fuité
Le 28 septembre 2020 à 08h51
1 min
Internet
Internet
C’est une nouvelle fois sur 4chan que le lien torrent pour récupérer les données – d’un poids de 43 Go – aurait été déposé, comme le rapporte The Hacker News.
Microsoft n’a pas réagi pour le moment, mais certains chercheurs attestent de l’authenticité de cette fuite. Pour rappel, une fuite concernant Windows 10 avait déjà eu lieu mi-2017, avec 32 To de données cette fois-ci.
Le 28 septembre 2020 à 08h51
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/09/2020 à 09h10
Vu la taille de ces OS, c’est pas étonnant que la fuite soit plus petite que pour Windows 10
Le 28/09/2020 à 09h31
XP/2000… c’est pas trop grave.
La fuite des codes de win7/win8 seraient bien plus dangereux. Ces deux versions sont encore largement utilisées et très peu maintenues.
Le 28/09/2020 à 12h58
Tu serais surpris du nombre de machines un minimum sensibles utilisant ces systèmes encore en circulation (caisses enregistreuses au hasard).
Avec tous les problèmes de Copyright que l’utilisation du code de Microsoft dans ReactOS poserait, je pense plutôt qu’au mieux ils regarderont de loin le code pour voir comment c’est fait, au risque de se prendre un procès s’ils l’utilisent.
Le 28/09/2020 à 14h02
Exactement, Le seul truc qu’ils puissent faire c’est l’implémentation salle-blanche.
Une première personne regarde comment ça marche, décrit/spécifie le comportement exact de l’API (aucune ligne de code, juste de la description) et la seconde personne implémente à partir de cette spécification.
Le 28/09/2020 à 10h26
Microsoft confirme son avancé dans l’open-source.
Le 28/09/2020 à 11h00
Quand on voit qu’une faille historique avec un exploit trivial dans netlogon a été patchée au mois d’août… Avoir de vieilles sources peut être utile à ceux que ça intéresse.
Le 28/09/2020 à 12h20
Le 28/09/2020 à 15h13
Est-ce qu’on sait si Windows 7 continue encore de réutiliser certains bouts de code de Windows XP parmi ce qui a fuité ? Je ne sais pas quelle proportion ça pourrait représenter mais ça pourrait peut-être révéler des vulnérabilités dans certains composants de systèmes plus récents.
Le 28/09/2020 à 17h25
Il y en a certainement dans 10 aussi, ca m’étonnerait qu’ils aient tout réécrit depuis.
Et non, ce n’est pas parce qu’on voit le code source qu’on voit les vulnérabilités, faut arrêter avec cette LU débunkée depuis 30 ans (l’opensource étant la preuve parfaite)…
Le 28/09/2020 à 18h58
Sauf qu’un logiciel opensource est développé en prenant en compte cette ouverture. Les logiciels proprio font souvent de la sécu par l’obscurité, sauf que si comme dans ce cas le code est publié, tout le code moisi lui devient visible !
Mais bon aucun risque avec windows
Le 28/09/2020 à 19h56
Croire qu’un logiciel est sécurisé parce qu’il est opensource est tout aussi foireux que de croire qu’un logiciel est une passoire car il est non-libre.
La sécurité par l’obscurité est une mauvaise chose quand c’est le seul moyen mis en oeuvre. Par contre, c’est une bonne chose quand c’est un mécanisme supplémentaire.
Le 28/09/2020 à 20h44
Ah non, je ne «crois» pas. MS a suffisamment fait preuve de sa compétence en sécurité.
Le 28/09/2020 à 22h20
Chacun est libre de croire ce qu’il veut. Pour ma part, je considère que Microsoft est plutôt bien au fait quand il s’agit de sécurité (on pourrait citer Adobe et son plugin flash pour le côté passoire !).
Je ne dis pas que tout est rose. Ils ont fait des choix par le passé qui ont été une catastrophe d’un point de vue sécurité (compte administrateur pour tout le monde, et pas de gestion des droits au niveau du système de fichiers par exemple); mais les choses ont bien changé depuis !
Quoi qu’il en soit, cela ne change rien en mon propos : ce n’est pas parce qu’un logiciel est libre qu’il est sécurisé, tout comme ce n’est pas parce qu’un logiciel est non libre que c’est une passoire.
Le 29/09/2020 à 20h27
On ne parle pas de tes considérations. Oui je suis d’accord avec ton enfonçage de porte ouverte, un logiciel proprio n’est pas nécessairement une passoire, tout comme un soft opensource n’est pas sécurisé de base. Mais ça n’était pas mon propo.
Le sujet, c’est le code source de windows qui a été publié, par une boite qui est championne de la sécurité par l’obscurité, et donc pas du tout championne de la sécurité. MS n’a que récemment développé des soft opensource. Pour windows, le soft n’a pas été pensé pour être publié, il est donc + vulnérable qu’un FOSS de base, même si beaucoup de monde a eu accès à leur code source, ça reste une passoire (même sans les différents leaks).
Que MS se soit refait une image ok, mais ça n’est pas pour ça qu’ils ne trainent pas leur passif (legacy) depuis presque 30 ans, qui se retrouve dans Windows 10 dernière version.
Le 28/09/2020 à 19h38
C’est vrai qu’on pourrait découvrir que le code des Windows est juste un gros plat de spaghettis entremêlés… Wahou, quelle surprise.
Le 28/09/2020 à 19h57
Bien, des gens vont enfin pouvoir commencer à débugger.
Le 28/09/2020 à 20h28
Ben ceux qui demandait à Microsoft de publier le code source XP pour que la communauté puisse faire des patches de sécurité doivent être content.
Le 28/09/2020 à 20h46
Ou on pourrait découvrir que certains composants de modules réseau et/ou critiques ont été codés avec le cul. Mais non c’est impossible ^^
Le 28/09/2020 à 21h52
Fuite tout de même à confirmer, car ce n’est pas la première fois que l’on voit du code source d’un OS MS “fuiter”, pour apprendre 5j plus tard que cétait des bouts de code source de versions non finalisées (très très peu exploitables donc, voir pas du tout).
Plus récemment, et dans un autre registre, on nous a fait le même coup pour le code source de Counter Strike Source : il aurait fuité. Plus tard Valve rappelle que 1/ ce code concernait une version beta (très vieille donc) des serveurs CS Source, 2/ ce code était volontairement partagé avec des tiers, et ce depuis belle lurette. Mais ça n’a pas empêché les sites de news de titrer “CS piraté !! Attention en vous connectant à un serveur non officiel vous pourriez perdre vos identifiants”. Ces mêmes sites ont peut être diffusé le démenti, mais… en tout petit, évidemment
Bref, faut ni s’affoler ni trop espérer.