Enfin ce que je trouve fabuleux, c’est qu’ils annoncent directement que le jeu aura 16 DLC gratuit et que les gens ne considèrent pas ça comme un jeu en kit !
C’est 16 putain de DLC O.o ! A moins que ce soient des trucs vachement “inutile” comme des nouvelles armures, des nouvelles armes, des skins différents (ce qui expliquerait pourquoi ils sont tous gratuits), on est quand même vachement proche d’un jeu en kit !
Le
27/01/2015 à
08h
31
Charly32 a écrit :
DLC ≠Extension. #PasdAmalgame.
Euu non !
A l’époque pour au moins la moitié du prix du jeu original tu pouvais t’acheter l’extension.
Aujourd’hui, pour environ la moitié du prix du jeu original, tu peux avoir le season pass pour télécharger les DLC qui sortent et dont le contenu total est équivalent aux extensions.
Parce qu’il y a pas de challenge à utiliser encore et toujours les même choses.
Parce que avoir un CV en tant que dev disant que tu n’as jamais utiliser des features avancées pour coder des sites web, c’est pas vendeur.
Le
26/01/2015 à
10h
56
Personnellement qu’ils laissent tomber IE je m’en fous un peu du moment que le site est conforme aux standards
Qu’ils utilisent des features non standard en prod’ c’est sale mais ça peut être acceptable du moment que la majorité du code est conforme aux standards.
Le plus dur à avaler c’est que certains font les 2 et se respectent pas les standards. Donc oui, c’est le navigateur le plus discriminé qui se base uniquement sur le respect des standards du web (je parle de IE11) qui prend le plus cher !
Et le plus ironique c’est que des devs reprochent à MS de pas respecter ces standards qu’eux même ne respectent pas…
Le
26/01/2015 à
10h
46
Pour SunSpider j’imagine que la valeur la plus faible est la meilleure.
C’est pas un peu bizarre que Spartan en bêta à un résultat deux fois plus faible que Chrome ?
Le
26/01/2015 à
10h
42
Ben écoute, si ton site en production est codé uniquement selon les standards, c’est bien félicitation.
Mais c’est pas pour autant que le restes des autres devs font comme toi.
J’ai déjà vu des devs web qui utilisent les préfixes Webkit en production et qui refuse de créer un comportement différent uniquement pour IE.
Alors certes, le délaissement de IE au profit des autres navigateurs est mérité (MS ne s’est remis en question qu’à partir de IE 10 et a commencer à faire du bon boulot depuis IE 11), mais la philosophie de développer pour des navigateurs et non pas selon des standards est très mauvaise.
Le
26/01/2015 à
10h
01
vloz a écrit :
… nan t’as raison, la theorie complot anti-MS est plus logique…
Euuu, que IE se colle une sale réputation et que les dev préfèrent optimiser leurs sites web pour d’autres navigateurs, c’est loin d’être une théorie du complot…
Ca s’appelle un NAS, nan ? J’ai un synology et je ne vois pas la différence avec ce que tu proposes.
Ou alors de veux un truc avec vraiment zéro paramètrage ?
Après, passer ton mail la dessus, ca te met à la merci de la qualité de ta propre connexion web : bien moins fiable qu’un connexion pro.
Oui je sais que les NAS existent. Mais je parle d’un truc encore plus simple, moins gros qu’un NAS.
Comme tu dis : zéro paramétrage.
Après le serveur mail est pas vraiment obligatoire, mais je pensais à 2 gammes distinctes : l’offre de base qui te permet juste de stocker des documents chez toi, et une offre un peu plus évoluée qui te fournit certains services populaire sur les offres cloud (agenda, mail par exemple)
Le
22/01/2015 à
14h
18
methos1435 a écrit :
De plus, un Cloud privé chez soi ça implique d'avoir une très bonne connexion pour rendre facile l'accès depuis l'extérieur. Et vu que c'est pas le cas (la bonne connexion pour tout le monde) il est bien plus rentable pour eux de centraliser de leur coté.
Maintenant il est toujours possible de se passer des services de Microsoft et d’utiliser des solutions plus privées style owncloud…
Sauf que Owncloud, en plus d’être vulnérable au même problème de débit, c’est pas une solution clé en main à utiliser out of the box.
La ce que je propose c’est un produit pour les michus. Un boitier avec un gros disque dur (1To ça suffit pour une utilisation de Michu)
que tu connectes au modem via un cable ethernet et que tu actives/configure via une application mobile et un software que tu installes sur ton PC. La configuration se fait toute seule et voilà.
Le
22/01/2015 à
14h
11
Non c’est absolument pas ce qui est demandé.
Mais l’idée même de suivre quelqu’un qui vit normalement sans faire d’énormes sacrifices (il a toujours un smartphone, mais il sera sous Ubuntu/Jolla/FFOS) et qui montre que au final, on peut vivre sans les multi nationale américaine ! Et si il arrive à faire avec des produits libres français ce serait encore mieux !
Le
22/01/2015 à
14h
03
methos1435 a écrit :
Ca n’a surtout aucun sens… Ca signifierait qu’on doit utiliser un logiciel non pas pour ses fonctionnalités mais par choix philosophique.
Certains sont peut être près à le faire, perso: non.
Un tel reportage a du sens ! Mais sa portée doit être purement informative et non pas promotionnelle.
Prouver aux gens qu’on peut se passer des produits de MS/Google/Apple & co pour n’utiliser que des produits libres sans faire trop de sacrifice, c’est intéressant à regarder.
Mais il ne faut pas que son objectif soit : vous voyez, si lui a pu le faire vous pouvez le faire. Et si vous pouvez le faire, faites le !
Sinon, j’aurais une idée. Si MS (je prends MS en exemple mais sa marche avec n’importe quelle boite ne produisant rien de libre) sortait un produit clé en main qui se branche sur un routeur, qui se configure et gère facilement depuis un PC ou un smartphone (logiciel/application) dont le rôle est de donner aux gens les moyens d’avoir leurs propre cloud (les données ne passent pas par les serveurs de MS mais sont stockées chez eux). Ça marcherait à votre avis ?
Avec plusieurs prix différents selon le service (juste stockage, serveur mail en plus, création d’un point VPN etc…) et l’espace disponible souhaité.
Le
22/01/2015 à
13h
45
neokoplex a écrit :
Tiens j’y pense mais un dossier que pourrais réaliser NXi et qui servirait de “marronnier”, serait celui de “vivre” sans produit “proprietaire”, le tout réaliser chaque année afin de remettre à jour les solution.
Je ne veux pas dire libre forcément,
Utiliser des logiciels qui ne sont ni propriétaires ni libre… Ca existe un entre les deux ? O.o
Après le problème avec ce genre de reportage c’est la portée que ça a sur les gens. C’est à dire rien ! Ça montre juste que quelqu’un arrive à se passer de Windows/Office/IE/Adobe/Spotify/Outlook/etc… et c’est tout. J’ai vu des reportages où des gens décident de vivre 1 an sans électricité, c’est pas pour ça que ça va me donner envie de faire la même chose.
Il y a même des gens qui arrivent à vivre sans manger de viande (ou quoi que ce soit qui provienne d’un animal), et ben c’est pas pour autant que beaucoup les rejoigne, et pour un seul argument : on est obligé de sortir de sa zone de confort !
Le
22/01/2015 à
12h
17
Ben vu la R&D qu’à foutu MS dedans (apparemment ils ont créé un processeur prenant entièrement un charge la numérisation des hologrammes), je suis pas si sûr qu’on ait quelque chose de si abordable.
Après c’est mon sentiment, mais récemment MS semble apprendre de ses erreurs, et apparemment des “erreurs” de Google sur le concept des Glass. Du coup peut être qu’ils vont baisser le prix des Lens (quitte à les vendre à perte) pour que les développeurs développent dessus.
Surtout qu’apparemment ils ont beaucoup bosser sur l’API permettant de développer des hologrammes.
Le
22/01/2015 à
10h
58
Okki a écrit :
Les gens ne semblent donc pas avoir de mal à utiliser autre chose que Windows. Il faut juste répondre, ou créer, un besoin.
Un smartphone ou une tablette ce ne sont pas des PC. Les usages ne sont pas les même, l’ergonomie n’ont plus.
Les gens s’y sont fait parce que tout était à apprendre. Plus de clavier ou de souris, des écrans plus petits (très petits), une ergonomie totalement différente. Personne n’a jamais pensé à faire la comparaison avec un PC et tout le monde à faire le rapport avec les téléphones.
ledufakademy a écrit :
le système se comportera comme un service. Le but est de se débarrasser de l’éternelle question : « quelle version de Windows avez-vous ? »
J’avais pas pensé ça comme toi ! C’est une bonne vision des choses.
Je voyais plus ça comme : Avant vous deviez tout faire vous même, maintenant grâce à W10, Cortana et Spartan, vous avez juste besoin de demander ou d’autoriser pour que ce soit fait automatiquement !
Le
22/01/2015 à
10h
16
Parce que tu crois que les libristes iraient acheter un PC linux au même prix qu’un PC Windows ?
Pareil pour Madame Michu. Pourquoi elle irait acheter un PC sous Linux quand elle ne connait pas du Linux, alors que pour le même prix elle a un PC sous Windows.
Donc pour vendre du PC sous Linux, il faut baisser son prix. Mais baisser le prix uniquement de 20 ou 50$ (je sais plus combien paye les constructeur pour les licences OEM), je doute que ce soit suffisant pour attirer le grand public.
Le
22/01/2015 à
09h
55
Pour les chromebook l’argument majeur c’est qu’ils sont pas cher du tout.
Quelqu’un qui une utilisation d’un ordinateur qui se limite à Mail/Internet, un chromebook c’est tout à fait suffisant, ça n’a rien à voir avec le fait qu’ils soient libre.
Le
22/01/2015 à
09h
52
Nerdebeu a écrit :
Surtout couplée à cette annonce d’une année de validité de la mise à jour gratuite. C’est ce qui ressort le plus de tous les commentaires que je lis depuis hier soir. Quid au delà de cette année, justement ? Quel prix ? Et justement c’est là que WAS fait peur à beaucoup.
Les gens se posent beaucoup trop de question, aiment se faire peur et se rassurent en se disant que de toute façon MS ce sont les méchants.
Lors de la sortie de W8, ils ont fait presque la même chose : la mise à jour coûtait seulement 30€ la première année (ou les 6 premier mois je sais plus). Personne ne s’est demandé où était le piège si MS allait faire payer après où quel sera le prix après cette année. Non, les gens sont allés à l’explication la plus simple : c’est une période de promotion pour encourager les gens à passer rapidement sous W8.
La on est dans la même situation : on a une période de promotion avec la gratuité de Windows. A la fin de la durée de la promotion, si tu veux faire la mise à jour tu vas devoir payer. Au pire tu payes autant que d’habitude, au mieux les licences seront moins cher.
Le
22/01/2015 à
09h
41
C’est normal qu’ils en aient pas parlé.
L’event d’hier c’était pour présenter le nouveau Windows 10 et les devices “innovants” qui peuvent fonctionner avec.
Pour tout ce qui est Windows Server, Office, Visual Studio on devrait avoir ça lors de la Build.
Et pour tout ce que est JV (Xbox, PC, exclusivité, nouvelles licences…) on devrait avoir ça lors de l’E3 où d’une conférence dédiée.
Le
22/01/2015 à
09h
16
Sachant que seul Korben ne cite aucunes sources pouvant confirmer ce qu’il dit, et qu’il est le seul à dire cela. Je pense plutôt qu’il a mal compris les déclaration de MS (ou alors qu’il trolle)
Le
22/01/2015 à
09h
14
Alors le concept est beaucoup plus proche des Google Glass que de l’Occulus Rift ça c’est certains (on parle de réalité augmentée et non de réalité virtuelle).
Après je trouve que le concept de MS reste différent de celui de Google. De ce que j’ai pu (et ce que je me souviens), les Google Glass fonctionne comme une extension de son smartphone et nous propose d’utiliser les applis Agenda, Maps, SMS, Appel sans avoir besoin de sortir son téléphone. L’objectif de ce produit est d’être utiliser en permanence (c’est assez petit et discret) que ce soit au travail, chez soi ou dans la rue.
L’HoloLens par contre est un concept un peu différent. Premièrement, de ce que l’on a pu voir, son utilisation ne se limite pas à des interactions à la voix avec ce qui remplace son smartphone, et à l’affiche de notifications en réalité augmenté. Même si les exemples sont peu nombreux, on sent que MS veut en faire un outil qui introduit de nouvelles habitudes, de nouveaux modes d’utilisations (contrairement à Google), avec un usage qui devrait rester dans la sphère privée (chez soi) ou professionnel.
Le
21/01/2015 à
21h
50
atomusk a écrit :
Je sais pas ce qu’il te faut pour être heureux ! un OS basé sur du libre sans google !!
Ce sont des forks chinois ! Et on sait tous que les chinois sont fourbes et vicieux " />
Le
21/01/2015 à
21h
48
atomusk a écrit :
Google n’a AUCUNE NON AUCUNE OBLIGATION de porter une quelconque app.
Dans cette histoire d”application Youtube, le problème c’est pas que Google refuse de la faire. Mais qu’il refuse de donner à MS les moyens de la faire lui même. Ce serait comme si MS rendait les documents Office illisible s’ils ne sont pas ouvert avec les logiciels de la suite Office.
Personne ne pourrait défendre une telle position aujourd’hui… Oh wait !
Le
21/01/2015 à
21h
42
Je suis désolé, mais la grande force de Linux (je parle du noyau et des distrib) c’est de pouvoir “customiser” ton OS selon tes goûts, tes besoins et tes envies sans aucune restriction. Si je veux une debian et changer le packet manager sans réduire la liste potentielle des logiciel que je peux installer, je peux !
Si demain je veux un Android débarrassé de tous les services Google sans perdre le catalogue d’applications présent dans le Google Play, je ne peux pas !
Le
21/01/2015 à
21h
10
XD a écrit :
Google à l’inverse en éditant des logiciels libres ne peut pas imposer ses services puisque c’est la philosophie même du libre. La preuve avec Amazon par exemple ou tous les autres stores alternatifs au Google Play.
Hahahahaha ! Pardon :/
Google utilisent des projets open source pour ses OS et son navigateur web (AOSP, Chromium OS et Chromium). Mais j'ai jamais vu circuler les code source d'application comme Maps, Google Agenda, Gmail, InBox...
Non mais Google va jusqu'à intégrer ses services les moins populaires avec des services très populaire pour te forcer à les utiliser (Je veux commenter des vidéos Youtube sans avoir à utiliser G+, je fais comment monsieur l'expert ?). Et son produit qui lui rapporte le plus et qui est le plus "dangereux" (son moteur de recherche) est close-source.
Après que les autres stores alternatifs existent c'est bien. Mais si tu veux le dernier jeu super cool est ce qu'il sera dessus ? Si je veux une tablette Amazon (pour lire mes ebook via mon compte amazon) est ce que je peux installer dessus Google Music (parce que ma musique est sur Google Music, qui d'ailleur n'est pas libre). Est ce que je peux installer le Play Store sur la rom d'Amazon ?
Pourquoi est ce que je peux pas installer de plugin qui bloque les pubs sur chrome Android, alors que je le peux sur Chrome Desktop ?
Enfin voilà, pour une boite qui fait dans du libre, il y a beaucoup de chose qu'on ne peut pas faire.
XD a écrit :
Peut importe que les gens utilisent ou non les Gapps, l’important
c’est que tu es le choix et ceci à tout moment. Si un jour t’as plus
envie de Google, tu peux très bien te passer d’eux.
Mais justement tu n’as pas le choix !
Si je changer mon téléphone Android pour une Rom alternative et que je veux garder la totalité des applications que j’ai moins même choisie sur le Play Store. Je fais comment ?
Le
21/01/2015 à
21h
00
XD a écrit :
Android est totalement libre, Google rajoute ses Google Apps qui ne sont en aucun cas obligatoires pour faire tourner Android (cf Custom Roms, Amazon, Chine, …). Les Google Apps sont optionnelles et libre à chacun de les choisir ou non, c’est ça la beauté des systèmes libres.
Euuu…. T’es quand même au courant que la version d’Android la plus utilisée c’est celle qui n’est pas 100% libre ?
Celle ou tu peux pas désinstaller les Google App. Celle qui contient des fonctionnalités codées par Google et qui ne sont pas dans le projet AOSP ? (et d’après Ars Technica il y en a de plus en plus).
Alors oui Android est libre, mais jusqu’à présent, j’ai plus souvent vu des gens dire qu’ils se sont acheté le dernier Samsung que dire qu’ils ont installé la dernière ROM Cyanogen.
Ce que tu dis n’est pas faux, c’est juste pas ce qui se passe en ce moment. Les gens ont la version Android de Google, avec le Play Store, utilisent les services Google et se foutent totalement que le système soit libre ou non. C’est une réalité.
Je déteste qu’on m’oblige à utiliser des soft, donc cette Applisation de Microsoft ne me plait pas du tout.
Je comprends pas ton discours. Pourquoi sur la version Android de Google tu penses que les apps sont optionnelles tandis que chez MS elles seraient obligatoires ? W10 reste un PC, tu n’es pas obligé de te servir des apps. Et sur WP10 je suis s6ur qu’il y a des apps alternatives.
Le
21/01/2015 à
20h
45
Je pense plutôt que c’est pour faire migrer un maximum de personne en un très court laps de temps.
Ca aura au moins deux avantages : ça évitera le phénomène XP (oh mon dieu ça arrive à expiration, mais qu’est ce que je vais faire ?), et ça fournira une grosse base d’utilisateurs qui pourront profiter des nouvelles fonctionnalités et qui peuvent être potentiellement visée par les applis du store (et grâces aux applis universelles : le faible catalogue de WP n’est plus un si gros problème)
Le
21/01/2015 à
20h
36
methos1435 a écrit :
A mons avis, en dehors des entreprises pour l’instant faut pas trop espérer
Enfin
c’est surtout, en dehors des entreprises, à quoi ça va servir un écran
de 84” dont l’OS est fortement orienté “business” ?
methos1435 a écrit :
Là tu pars du principe que toute personne interessée par les nouvelles
technologies partage le même avis que toi sur la question…
Il part du principe que toute personne intéressée par les nouvelles technologie doit avoir le même avis que lui
XMalek a écrit :
Si Micro$oft avait voulu vraiment faire mal à Steam
Mais pour moi ils ont jamais voulu faire mal à Steam. Au contraire il leur disent ce que cela touchera pas leur business. A la sortie de W8 Gabe a gueulé disant que le store risque de détruire les store alternatif, comme Steam (et peu de temps après on a eu SteamOS et les Steam Machine qui sont sorties).
La MS montre que ce qu’ils ont fait niveau JV n’a aucune conséquence pour Valve.
XD a écrit :
Bravo, enfin quelqu’un de censé ici ! Microsoft tourne tranquillement vers l’Applisation de son système et son univers.
J’espère que Google saura contre attaquer et investir enfin sérieusement le monde du Desktop en nous proposant un système libre et efficace tel qu’un Android OS. Au moins, avec la force de frappe de Google, on pourrait enfin envisager de faire du gaming sur PC en se débarrassant une bonne fois pour toute de Microsoft. Wine sur Linux est déjà un bon début mais malheureusement trop limité.
Euu… tu reproches à MS de se tourner vers un ecosystème à la Google. Tu le sais quand même ?
Et sérieusement, Google ? Un système libre ?
Tu as accès au code source de l’Android de Google toi ? (je suis pratiquement sûr que Chrome OS est pas entièrement libre non plus)
Le
21/01/2015 à
20h
21
Obero a écrit :
En annonçant un produit sans aucune spec à l’appui, marrant " />
Quel est le FOV ? La résolution ? Le poids des lunettes ? etc.
Euuu osef de ça ?
Ils ont présenté un prototype qui bien que fonctionnel est pas encore fini.
Le jour où ils annonceront sa commercialisation (ils ont même pas encore donné de prix), c’est que le produit sera fini et là on pourra demander/avoir des spec’
Obero a écrit :
La grosse différence, c’est que les META on peut déjà les avoir sur le nez et commencer à bosser avec " />
La grosse différence c’est surtout que la on un prototype fonctionnel qui est capable de faire une démonstration, mais c’est tout ! On a plein de vidéo marketing qui montrent un concept et c’est tout !
Attendons qu’ils finissent les lunettes, ce qu’on peut en faire et là on pourra comparer à la concurrence ^^
neokoplex a écrit :
Mais attendez, le plus fort c’est que maintenant votre télé dispose d’une caméra, de micro et de plusieurs capteurs.
Troll je sais, mais quand même… Où est ce que tu as vu une télé toi ? O.o
Le
21/01/2015 à
20h
08
Il y a plusieurs raison.
Premièrement c’est pour dire aux gamers PC : Ca marche avec Steam, pas besoin de changer beaucoup de vos habitudes.
Ensuite c’est pour dire à Valve : Ca marche avec Steam, les gamers vont pas changer leurs habitude, ça fera rien à votre business (vu qu’une des raisons de SteamOS c’est que Gabe pense que les gens iront acheter des jeux sur le store et plus sur Steam)
Et si on veut y voir une 3e raison : c’est une appli qui est complètement dispensable, uniquement là pour le social, les interactions etc… Ca ne remplace rien qui existe déjà.
Disons que la Surface Hub c’est une smartTV mais orienté pour le milieu professionel. Je suis même pas sur qu’on la qualifier de TV. Je dirais plutôt que c’est un énorme PC tout en un avec un écran tactile et des fonctionnalités orientées pro !
Le
21/01/2015 à
19h
33
J’avoue ! Sony a sorti un concurrent de l’occulus.
Google a sorti un concept très discret qui sert plutôt d’assistant. On attendait plus MS sur le terrain de Sony que sur celui de Google.
Et encore, je trouve l’idée de MS plus intéressante que celle de Google.
Le
21/01/2015 à
19h
28
Réalité augmenté, pas virtuelle !
Le
21/01/2015 à
19h
26
Au contraire, ça envoie un gros messages à Steam : vous voyez, on veut pas vous pourrir votre business !
Et puis après il balancent D12 pour dire à Steam : vous voyez votre SteamOS restera un produit de niche !
Il y a eu des rumeurs l’année dernière sur Sony qui se remettait sur le marché des Windows Phone, et même si rien n’a été démenti, on a eu aucune réponse allant dans ce sens.
Mon Nexus 4 commence à se faire vieux, je vais attendre le black friday 2015 pour le changer. J’espère que WP10 sera sorti sur certains smartphones
Le
21/01/2015 à
15h
18
busta525 a écrit :
un Lumia et t’es tranquille " />, la politique des autres constructeurs est soit floue (Samsung, HTC), soit inexistante parce qu’ils sont tout nouveau et n’ont pas d’historique.
T’es tranquille mais c’est moche !
Perso j’aimerai bien un Z3C sous W10 (oui noel est déjà passé et alors ?)
Pas la faute de MS faut le dire vite quand même " />
J’ai dis pas entièrement " />
atomusk a écrit :
Du coup, la question est justement : si Microsoft est tellement débordé qu’il lui faut plus de 5 mois pour corriger une faille critique, il faut prévenir les admins que l’outil touché par la faille n’est pas sécure.
Alors oui, ça ferait chier Microsoft d’annoncer à tout le monde : il y a une faille critique dans IE installez Chrome ou Firefox ( " />" />" />" />" />" />" />), au moins proposer un hotfix (ce qu’ils ont fait tres rapidement après l’officialisation de la faille de sécurité utilisée).
Il faut installer EMET surtout !
Et dans le cas de la faille que tu mentionnais, ne pas utiliser IE n’était pas suffisant, il fallait aussi faire attention aux fichiers Office ou Access qui peuvent être malveillant et exécuter des commande ActiveX.
Le
21/01/2015 à
14h
39
Alors dans ce cas précis, la faute ne revient pas entièrement sur MS.
Certes MS était au courant de cette vulnérabilité depuis longtemps, mais ils ont pas refusé de la corrigé. Ils l’ont ajouté à la liste des vulnérabilités détectées à corriger. Alors oui, 5 mois ça fait long mais on va juste rappelé que entre octobre et février MS a corrigé 28 vulnérabilités dont 13 critiques. Ils se sont pas juste dit “on va attendre qu’il ait un vrai problème pour la corriger”
Ensuite juste, la faille a été exploitée via du phishing d’utilisateur possédant des droits administrateurs… Sérieusement ? A aucun moment on se dit que quelque part ces gens sont cons ?
Après celle que tu cite en particulier est critique et aurait du être corrigé rapidement je suis d’accord.
Mais celle de l’article est loin d’être critique et peut bien attendre février.
Le
20/01/2015 à
15h
30
A vrai dire j’en sais rien.
Mais si ce que tu dis est vrai, je pense que l’équipe est surtout dimensionnée pour répondre d’abord à des objectifs internes (x 0day trouvées/corrigées par an).
Il doit y avoir d’un côté les expert en sécurité pour trouver les failles et les mainteneurs Windows pour les corriger. Qu’une roadmap est défini pour corriger le plus vite possible les failles. Et quand Google (ou n’importe qui d’autres), leur présente une nouvelle faille il doivent faire un choix : ils la traitent après les autres ou avant ?
Donc je pense que le choix de MS se fait en fonction de la criticité des failles. C’est pour cela que la faille la plus importante a été corrigée en Janvier et que celle dont il est question dans l’article a un peu pris de retard suite à des soucis et qu’ils se sont permit de repoussé la sortie d’un patch en février.
Le
20/01/2015 à
14h
44
Neo_13 a écrit :
J’ai pas parlé de 100 000dev. Des dev, il en faut 1 pour corriger, et par nature celui qui a écrit la merde.
Donc 35 équipes de 25 à 40, soit en gros 1100 personnes, c’est pas assez pour mener des tests de non regression ? La qualité des tests, c’est que contrairement à l’écriture du code, ils peuvent être parallèlisé quasiment à l’infini.
90j pour corriger une faille critique quand on est une boite de 100000personnes et 21G$ de benef net, c’est plus qu’assez et ne pas l’avoir fait signifie UNIQUEMENT que les mecs étaient utilisés pour autre chose. C’est une question de priorisation dans la boite.
Surement nombre d’entre eux sont en train de bosser sur d’autres projets (genre W10) et vu qu’on connait pas le nombre de exact de personnes maintenant W7 et W8.1, on peut difficilement dire : ils sont assez pour faire des tests.
Et quand même. Va lire le billet de Google, ça pourrait te faire comprendre quelques trucs.
Le
20/01/2015 à
14h
09
On peut supposer qu’il a fallut réécrire des services Windows pour corriger cette faille ^^”
Mais effectivement, on ne sait rien de ce qu’il a fallut être implémenté.
Sinon j’ai l’impression que tu confonds les deux affaires : le problème de divulgation de la faille 2 jours avant la publication du patch qui concerne une autre faille, et la divulgation de cette vulnérabilité sur la fonction de chiffrement de la mémoire où MS a eu des problème lors de certains tests et où ils décalent la sortie du patch aux mois de février (et vu les conditions assez stricts pour exploiter cette vulns, je vois pas le problème de décaler le patch à dans un mois)
Le
20/01/2015 à
14h
04
Neo_13 a écrit :
Quand t’as pas loin de 100 000 salariés sous la main, il doit y avoir moyen de faire un paquet de test en finalement peu de temps. Au moins 100 000 par jour.
Parce que tu crois qu’il y a 100.000 salariés dans le monde entier qui s’occupent de la maintenance de Windows ? Mais ce serait ingérable comme fonctionnement :/
Tu sais que MS c’est pas la communauté Linux ?
Et à moins qu’ils aient une équipe “en attente des billet de Google”, les gens responsable de la maintenance de Windows ont un boulot aussi. Ils vont pas abandonner leurs projets/travaux et mettre toutes leurs ressources pour obéir à Google (surtout vu la vulnérabilité en question pour le coup).
Le
20/01/2015 à
13h
29
Euuu si ! On a des infos sur la complexité de la failles. On a pas toutes les infos, il manque certains trucs notamment sur la complexité de la correction, mais on en a !
GoogleLes infos sont pas accessible au néophyte qui n’y connait rien en développement windows, en mécanisme d’authentification ou en sécurité, mais le billet n’est pas là pour ça.
Après l’initiative de Google est louable. Ils informent les boites de vulnérabilités détectables, exploitables et présentes dans leurs produits. Tout le monde est gagnant dans l’histoire.
Après, concernant l’ultimatum de 90 jours non négociable, quand le patch doit sortir 2 jours après je trouve que c’est vraiment pas cool de leur part.
Concernant la limite de 90 jours en règle générale, si personne ne s’en plaint, au final, pourquoi on irait gueuler ? (après quelques recherches, MS a uniquement reproché à Google de pas avoir attendu 2j avant de publier la vuln. Tout le reste, MS n’a rien dit)
Le
20/01/2015 à
10h
56
Dans l’absolue ils ont pas tort. C’est juste des conn*rd c’est tout ^^”
Peu importe l’argument d’un camp, il peut être utilisé dans l’autre : “Vous auriez pu attendre 2 jours de plus ça aurait rien changé”
“Ca fait longtemps que la faille existe, si on la publie 2 jours avant que le correctif ne sorte ça changera rien”
Si deux jours ne change rien dans les deux cas, ça fait quand même un peu “foutage de gueule de gamin” !
Par contre, je viens de remarquer. MS ne s’est jamais plein de la durée de 90 jours pour la correction des failles.
MS s’est plaint que Google a publié une faille 2 jours avant sa correction, mais il a jamais dit que 90 jours c’était pas assez. Il n’a jamais demandé à Google de ne pas publier la faille sur la fonction de chiffrement de la mémoire, il leur a juste dit : on a des problèmes, ça sortira en février point.
Mais le débat sur “est ce que 90 jours fixe est une bonne chose ?” mérite quand même d’avoir lieu (avec les concerné je parle).
Et j’aimerais aussi savoir si un jour Google trouve une faille très critique chez MS, mais également très délicate à corriger (qui se fait en plus de 3 mois), est ce qu’il la publiera quand même ?
Le
20/01/2015 à
10h
02
Dans le cas présent, oui :)
Vu que le patch de MS n’est pas obligatoire pour se protéger de cette vuln. Une mise à jour du service qui empêche une exploitation via une Named Pipe Attack et qui stocke les données chiffrées sur des sections de la mémoire qui ne sont pas en accès libre, pourrait faire l’affaire)
Et c’est cohérent (dans le cas présent aussi) de la part de MS de prendre plus de 3 mois pour la corriger (pas très grave, et affecte tous les services utilisant la fonction de chiffrement de la mémoire)
Le
20/01/2015 à
09h
57
J’ai trouvé des trucs sur les “Named Pipe Attack”
Alors apparemment ce sont des attaques qui sont connues depuis assez longtemps sur les systèmes Windows, et MS a publié il y a quelques années (au moins 8 ans) des mesures de protection permettant de se prémunire contre elles.
Donc j’ai envie de dire que si des devs créés des services Windows vulnérables sans utiliser les outils fournit par MS… C’est de leur faute si cette vuln’ est exploitable.
Le
20/01/2015 à
09h
46
Alors vu qu’apparemment tout le monde est expert dans la correction de failles de sécurités de bas niveau (mais que personne n’a jamais du lire le post de Google), voilà ce que l’on sait sur la failles en question :
This might be an issue if there’s a service which is vulnerable to a named pipe planting attack or is storing encrypted data in a world readable shared memory section.
Donc déjà la faille pourrait être un problème si les services qui utilisent la fonctionnalité en question sont vulnérable à une attaque spécifique (j’ai pas réussi à trouve de détail sur cette attaque) ou qu’il stocke des données chiffrées dans des sections de mémoire partagées lisibles par tous (coucou je garde mon coffre fort juste à côté de ma boite aux lettres).
Bref si MS voulait faire son “Google”, il pourrait très bien dire : “nos services utilisant cette fonction sont sécurisés et donc non vulnérables, c’est aux développeurs de faire attention à ce qu’ils font”.
Pour revenir sur mon argument principal, on a donc une vulnérabilité exploitable uniquement dans 2 cas bien précis, qui ne (contrairement à ce qui a été dit) permet une élévation de privilège que très limitée (un attaquant ne va pas pouvoir devenir admin de la machine grâce à ça), et touche une fonction qui est très certainement utilisée par plein de services différents. Donc le moindre changement pourrait causer un dysfonctionnement des services qui l’utilisent.
Il est probable que MS soit également obligé de modifier le code de tous ses services utilisant cette fonction.
Donc au final la vulnérabilité reste assez difficile à exploiter (difficile à industrialiser et à produire des script en masse), et la charge de travail nécessaire pour fournir un patch qui ne plombe pas tout l’OS peut dépasser les 3 mois.
Le
19/01/2015 à
22h
05
Mais non. Ca leur fait de la pub à Google.
Au bout d’un certain moment ils vont publiés leurs stats disant : “Alors MS a été prévenu x fois, n’a jamais corrigé y vuln, et à mis plus de 3 mois à corriger z vulns.
Vous voyez ? Nous on les prévient, on leur laisse 3 mois pour tout corriger et eux ils se permettent de faire les difficiles”
Le
19/01/2015 à
16h
56
C’est de la gestion de risque après.
Est ce que MS prend le risque de sortir un patch corrigeant la vuln mais faisant planté un poste sur deux, ou alors MS se dit que de toute façon la faille reste compliqué à trouver ET à exploité, et que du coup ils peuvent prendre leur temps et s’assurer que le correctif ne fait pas régresser le système.
3074 commentaires
The Witcher 3 : les DLC gratuits ne sont qu’une stratégie
27/01/2015
Le 27/01/2015 à 08h 41
Enfin ce que je trouve fabuleux, c’est qu’ils annoncent directement que le jeu aura 16 DLC gratuit et que les gens ne considèrent pas ça comme un jeu en kit !
C’est 16 putain de DLC O.o ! A moins que ce soient des trucs vachement “inutile” comme des nouvelles armures, des nouvelles armes, des skins différents (ce qui expliquerait pourquoi ils sont tous gratuits), on est quand même vachement proche d’un jeu en kit !
Le 27/01/2015 à 08h 31
Windows 10 : le navigateur Spartan de Microsoft est disponible
26/01/2015
Le 26/01/2015 à 16h 01
Parce qu’il y a pas de challenge à utiliser encore et toujours les même choses.
Parce que avoir un CV en tant que dev disant que tu n’as jamais utiliser des features avancées pour coder des sites web, c’est pas vendeur.
Le 26/01/2015 à 10h 56
Personnellement qu’ils laissent tomber IE je m’en fous un peu du moment que le site est conforme aux standards
Qu’ils utilisent des features non standard en prod’ c’est sale mais ça peut être acceptable du moment que la majorité du code est conforme aux standards.
Le plus dur à avaler c’est que certains font les 2 et se respectent pas les standards. Donc oui, c’est le navigateur le plus discriminé qui se base uniquement sur le respect des standards du web (je parle de IE11) qui prend le plus cher !
Et le plus ironique c’est que des devs reprochent à MS de pas respecter ces standards qu’eux même ne respectent pas…
Le 26/01/2015 à 10h 46
Pour SunSpider j’imagine que la valeur la plus faible est la meilleure.
C’est pas un peu bizarre que Spartan en bêta à un résultat deux fois plus faible que Chrome ?
Le 26/01/2015 à 10h 42
Ben écoute, si ton site en production est codé uniquement selon les standards, c’est bien félicitation.
Mais c’est pas pour autant que le restes des autres devs font comme toi.
J’ai déjà vu des devs web qui utilisent les préfixes Webkit en production et qui refuse de créer un comportement différent uniquement pour IE.
Alors certes, le délaissement de IE au profit des autres navigateurs est mérité (MS ne s’est remis en question qu’à partir de IE 10 et a commencer à faire du bon boulot depuis IE 11), mais la philosophie de développer pour des navigateurs et non pas selon des standards est très mauvaise.
Le 26/01/2015 à 10h 01
Battlefield Hardline montre ses cartes et ses modes de jeu
23/01/2015
Le 23/01/2015 à 13h 06
Counter Strike ? Tu parle de cette copie de Wolfenstein 3D et qui s’est juste contenté de mettre des terroristes à la place des Nazis ?
" />
Plus sérieusement, j’attends vraiment la campagne solo de ce jeu. Voir ce qu’ils ont modifiés suites aux critiques de la beta
Non, Windows 10 ne sera pas vendu sous la forme d’un abonnement
22/01/2015
Le 22/01/2015 à 15h 25
Je trouve que c’est une très bonne raison d’ailleurs.
Le futur de Microsoft : Windows 10, Xbox App, Spartan et HoloLens
21/01/2015
Le 22/01/2015 à 14h 24
Le 22/01/2015 à 14h 18
Le 22/01/2015 à 14h 11
Non c’est absolument pas ce qui est demandé.
Mais l’idée même de suivre quelqu’un qui vit normalement sans faire d’énormes sacrifices (il a toujours un smartphone, mais il sera sous Ubuntu/Jolla/FFOS) et qui montre que au final, on peut vivre sans les multi nationale américaine ! Et si il arrive à faire avec des produits libres français ce serait encore mieux !
Le 22/01/2015 à 14h 03
Le 22/01/2015 à 13h 45
Le 22/01/2015 à 12h 17
Ben vu la R&D qu’à foutu MS dedans (apparemment ils ont créé un processeur prenant entièrement un charge la numérisation des hologrammes), je suis pas si sûr qu’on ait quelque chose de si abordable.
Après c’est mon sentiment, mais récemment MS semble apprendre de ses erreurs, et apparemment des “erreurs” de Google sur le concept des Glass. Du coup peut être qu’ils vont baisser le prix des Lens (quitte à les vendre à perte) pour que les développeurs développent dessus.
Surtout qu’apparemment ils ont beaucoup bosser sur l’API permettant de développer des hologrammes.
Le 22/01/2015 à 10h 58
Le 22/01/2015 à 10h 16
Parce que tu crois que les libristes iraient acheter un PC linux au même prix qu’un PC Windows ?
Pareil pour Madame Michu. Pourquoi elle irait acheter un PC sous Linux quand elle ne connait pas du Linux, alors que pour le même prix elle a un PC sous Windows.
Donc pour vendre du PC sous Linux, il faut baisser son prix. Mais baisser le prix uniquement de 20 ou 50$ (je sais plus combien paye les constructeur pour les licences OEM), je doute que ce soit suffisant pour attirer le grand public.
Le 22/01/2015 à 09h 55
Pour les chromebook l’argument majeur c’est qu’ils sont pas cher du tout.
Quelqu’un qui une utilisation d’un ordinateur qui se limite à Mail/Internet, un chromebook c’est tout à fait suffisant, ça n’a rien à voir avec le fait qu’ils soient libre.
Le 22/01/2015 à 09h 52
Le 22/01/2015 à 09h 41
C’est normal qu’ils en aient pas parlé.
L’event d’hier c’était pour présenter le nouveau Windows 10 et les devices “innovants” qui peuvent fonctionner avec.
Pour tout ce qui est Windows Server, Office, Visual Studio on devrait avoir ça lors de la Build.
Et pour tout ce que est JV (Xbox, PC, exclusivité, nouvelles licences…) on devrait avoir ça lors de l’E3 où d’une conférence dédiée.
Le 22/01/2015 à 09h 16
Sachant que seul Korben ne cite aucunes sources pouvant confirmer ce qu’il dit, et qu’il est le seul à dire cela. Je pense plutôt qu’il a mal compris les déclaration de MS (ou alors qu’il trolle)
Le 22/01/2015 à 09h 14
Alors le concept est beaucoup plus proche des Google Glass que de l’Occulus Rift ça c’est certains (on parle de réalité augmentée et non de réalité virtuelle).
Après je trouve que le concept de MS reste différent de celui de Google. De ce que j’ai pu (et ce que je me souviens), les Google Glass fonctionne comme une extension de son smartphone et nous propose d’utiliser les applis Agenda, Maps, SMS, Appel sans avoir besoin de sortir son téléphone. L’objectif de ce produit est d’être utiliser en permanence (c’est assez petit et discret) que ce soit au travail, chez soi ou dans la rue.
L’HoloLens par contre est un concept un peu différent. Premièrement, de ce que l’on a pu voir, son utilisation ne se limite pas à des interactions à la voix avec ce qui remplace son smartphone, et à l’affiche de notifications en réalité augmenté. Même si les exemples sont peu nombreux, on sent que MS veut en faire un outil qui introduit de nouvelles habitudes, de nouveaux modes d’utilisations (contrairement à Google), avec un usage qui devrait rester dans la sphère privée (chez soi) ou professionnel.
Le 21/01/2015 à 21h 50
Le 21/01/2015 à 21h 48
Le 21/01/2015 à 21h 42
Je suis désolé, mais la grande force de Linux (je parle du noyau et des distrib) c’est de pouvoir “customiser” ton OS selon tes goûts, tes besoins et tes envies sans aucune restriction. Si je veux une debian et changer le packet manager sans réduire la liste potentielle des logiciel que je peux installer, je peux !
Si demain je veux un Android débarrassé de tous les services Google sans perdre le catalogue d’applications présent dans le Google Play, je ne peux pas !
Le 21/01/2015 à 21h 10
Le 21/01/2015 à 21h 00
Le 21/01/2015 à 20h 45
Je pense plutôt que c’est pour faire migrer un maximum de personne en un très court laps de temps.
Ca aura au moins deux avantages : ça évitera le phénomène XP (oh mon dieu ça arrive à expiration, mais qu’est ce que je vais faire ?), et ça fournira une grosse base d’utilisateurs qui pourront profiter des nouvelles fonctionnalités et qui peuvent être potentiellement visée par les applis du store (et grâces aux applis universelles : le faible catalogue de WP n’est plus un si gros problème)
Le 21/01/2015 à 20h 36
Le 21/01/2015 à 20h 21
Le 21/01/2015 à 20h 08
Il y a plusieurs raison.
Premièrement c’est pour dire aux gamers PC : Ca marche avec Steam, pas besoin de changer beaucoup de vos habitudes.
Ensuite c’est pour dire à Valve : Ca marche avec Steam, les gamers vont pas changer leurs habitude, ça fera rien à votre business (vu qu’une des raisons de SteamOS c’est que Gabe pense que les gens iront acheter des jeux sur le store et plus sur Steam)
Et si on veut y voir une 3e raison : c’est une appli qui est complètement dispensable, uniquement là pour le social, les interactions etc… Ca ne remplace rien qui existe déjà.
Le 21/01/2015 à 19h 35
Avec sa Surface Hub, Microsoft propose donc un produit qui se rapproche d’une « télévision connectée », mais avec Windows 10 adapté aux commandes… c’est vrai qu’il manquait d’un nouveau système d’exploitation dans ce domaine.
Disons que la Surface Hub c’est une smartTV mais orienté pour le milieu professionel. Je suis même pas sur qu’on la qualifier de TV. Je dirais plutôt que c’est un énorme PC tout en un avec un écran tactile et des fonctionnalités orientées pro !
Le 21/01/2015 à 19h 33
J’avoue ! Sony a sorti un concurrent de l’occulus.
Google a sorti un concept très discret qui sert plutôt d’assistant. On attendait plus MS sur le terrain de Sony que sur celui de Google.
Et encore, je trouve l’idée de MS plus intéressante que celle de Google.
Le 21/01/2015 à 19h 28
Réalité augmenté, pas virtuelle !
Le 21/01/2015 à 19h 26
Au contraire, ça envoie un gros messages à Steam : vous voyez, on veut pas vous pourrir votre business !
Et puis après il balancent D12 pour dire à Steam : vous voyez votre SteamOS restera un produit de niche !
« Nouveau chapitre » de Windows 10 : suivez la conférence en direct, dès 18 h
21/01/2015
Le 21/01/2015 à 15h 27
Il y a eu des rumeurs l’année dernière sur Sony qui se remettait sur le marché des Windows Phone, et même si rien n’a été démenti, on a eu aucune réponse allant dans ce sens.
Mon Nexus 4 commence à se faire vieux, je vais attendre le black friday 2015 pour le changer. J’espère que WP10 sera sorti sur certains smartphones
Le 21/01/2015 à 15h 18
Windows 7 et 8.x : Google dévoile de nouveau les détails d’une faille non corrigée
19/01/2015
Le 21/01/2015 à 15h 16
Le 21/01/2015 à 14h 39
Alors dans ce cas précis, la faute ne revient pas entièrement sur MS.
Certes MS était au courant de cette vulnérabilité depuis longtemps, mais ils ont pas refusé de la corrigé. Ils l’ont ajouté à la liste des vulnérabilités détectées à corriger. Alors oui, 5 mois ça fait long mais on va juste rappelé que entre octobre et février MS a corrigé 28 vulnérabilités dont 13 critiques. Ils se sont pas juste dit “on va attendre qu’il ait un vrai problème pour la corriger”
Ensuite juste, la faille a été exploitée via du phishing d’utilisateur possédant des droits administrateurs… Sérieusement ? A aucun moment on se dit que quelque part ces gens sont cons ?
Après celle que tu cite en particulier est critique et aurait du être corrigé rapidement je suis d’accord.
Mais celle de l’article est loin d’être critique et peut bien attendre février.
Le 20/01/2015 à 15h 30
A vrai dire j’en sais rien.
Mais si ce que tu dis est vrai, je pense que l’équipe est surtout dimensionnée pour répondre d’abord à des objectifs internes (x 0day trouvées/corrigées par an).
Il doit y avoir d’un côté les expert en sécurité pour trouver les failles et les mainteneurs Windows pour les corriger. Qu’une roadmap est défini pour corriger le plus vite possible les failles. Et quand Google (ou n’importe qui d’autres), leur présente une nouvelle faille il doivent faire un choix : ils la traitent après les autres ou avant ?
Donc je pense que le choix de MS se fait en fonction de la criticité des failles. C’est pour cela que la faille la plus importante a été corrigée en Janvier et que celle dont il est question dans l’article a un peu pris de retard suite à des soucis et qu’ils se sont permit de repoussé la sortie d’un patch en février.
Le 20/01/2015 à 14h 44
Le 20/01/2015 à 14h 09
On peut supposer qu’il a fallut réécrire des services Windows pour corriger cette faille ^^”
Mais effectivement, on ne sait rien de ce qu’il a fallut être implémenté.
Sinon j’ai l’impression que tu confonds les deux affaires : le problème de divulgation de la faille 2 jours avant la publication du patch qui concerne une autre faille, et la divulgation de cette vulnérabilité sur la fonction de chiffrement de la mémoire où MS a eu des problème lors de certains tests et où ils décalent la sortie du patch aux mois de février (et vu les conditions assez stricts pour exploiter cette vulns, je vois pas le problème de décaler le patch à dans un mois)
Le 20/01/2015 à 14h 04
Le 20/01/2015 à 13h 29
Euuu si ! On a des infos sur la complexité de la failles. On a pas toutes les infos, il manque certains trucs notamment sur la complexité de la correction, mais on en a !
GoogleLes infos sont pas accessible au néophyte qui n’y connait rien en développement windows, en mécanisme d’authentification ou en sécurité, mais le billet n’est pas là pour ça.
Après l’initiative de Google est louable. Ils informent les boites de vulnérabilités détectables, exploitables et présentes dans leurs produits. Tout le monde est gagnant dans l’histoire.
Après, concernant l’ultimatum de 90 jours non négociable, quand le patch doit sortir 2 jours après je trouve que c’est vraiment pas cool de leur part.
Concernant la limite de 90 jours en règle générale, si personne ne s’en plaint, au final, pourquoi on irait gueuler ? (après quelques recherches, MS a uniquement reproché à Google de pas avoir attendu 2j avant de publier la vuln. Tout le reste, MS n’a rien dit)
Le 20/01/2015 à 10h 56
Dans l’absolue ils ont pas tort. C’est juste des conn*rd c’est tout ^^”
Peu importe l’argument d’un camp, il peut être utilisé dans l’autre : “Vous auriez pu attendre 2 jours de plus ça aurait rien changé”
“Ca fait longtemps que la faille existe, si on la publie 2 jours avant que le correctif ne sorte ça changera rien”
Si deux jours ne change rien dans les deux cas, ça fait quand même un peu “foutage de gueule de gamin” !
Par contre, je viens de remarquer. MS ne s’est jamais plein de la durée de 90 jours pour la correction des failles.
MS s’est plaint que Google a publié une faille 2 jours avant sa correction, mais il a jamais dit que 90 jours c’était pas assez. Il n’a jamais demandé à Google de ne pas publier la faille sur la fonction de chiffrement de la mémoire, il leur a juste dit : on a des problèmes, ça sortira en février point.
Mais le débat sur “est ce que 90 jours fixe est une bonne chose ?” mérite quand même d’avoir lieu (avec les concerné je parle).
Et j’aimerais aussi savoir si un jour Google trouve une faille très critique chez MS, mais également très délicate à corriger (qui se fait en plus de 3 mois), est ce qu’il la publiera quand même ?
Le 20/01/2015 à 10h 02
Dans le cas présent, oui :)
Vu que le patch de MS n’est pas obligatoire pour se protéger de cette vuln. Une mise à jour du service qui empêche une exploitation via une Named Pipe Attack et qui stocke les données chiffrées sur des sections de la mémoire qui ne sont pas en accès libre, pourrait faire l’affaire)
Et c’est cohérent (dans le cas présent aussi) de la part de MS de prendre plus de 3 mois pour la corriger (pas très grave, et affecte tous les services utilisant la fonction de chiffrement de la mémoire)
Le 20/01/2015 à 09h 57
J’ai trouvé des trucs sur les “Named Pipe Attack”
Alors apparemment ce sont des attaques qui sont connues depuis assez longtemps sur les systèmes Windows, et MS a publié il y a quelques années (au moins 8 ans) des mesures de protection permettant de se prémunire contre elles.
Donc j’ai envie de dire que si des devs créés des services Windows vulnérables sans utiliser les outils fournit par MS… C’est de leur faute si cette vuln’ est exploitable.
Le 20/01/2015 à 09h 46
Alors vu qu’apparemment tout le monde est expert dans la correction de failles de sécurités de bas niveau (mais que personne n’a jamais du lire le post de Google), voilà ce que l’on sait sur la failles en question :
This might be an issue if there’s a service which is vulnerable to a named pipe planting attack or is storing encrypted data in a world readable shared memory section.
Donc déjà la faille pourrait être un problème si les services qui utilisent la fonctionnalité en question sont vulnérable à une attaque spécifique (j’ai pas réussi à trouve de détail sur cette attaque) ou qu’il stocke des données chiffrées dans des sections de mémoire partagées lisibles par tous (coucou je garde mon coffre fort juste à côté de ma boite aux lettres).
Bref si MS voulait faire son “Google”, il pourrait très bien dire : “nos services utilisant cette fonction sont sécurisés et donc non vulnérables, c’est aux développeurs de faire attention à ce qu’ils font”.
Pour revenir sur mon argument principal, on a donc une vulnérabilité exploitable uniquement dans 2 cas bien précis, qui ne (contrairement à ce qui a été dit) permet une élévation de privilège que très limitée (un attaquant ne va pas pouvoir devenir admin de la machine grâce à ça), et touche une fonction qui est très certainement utilisée par plein de services différents. Donc le moindre changement pourrait causer un dysfonctionnement des services qui l’utilisent.
Il est probable que MS soit également obligé de modifier le code de tous ses services utilisant cette fonction.
Donc au final la vulnérabilité reste assez difficile à exploiter (difficile à industrialiser et à produire des script en masse), et la charge de travail nécessaire pour fournir un patch qui ne plombe pas tout l’OS peut dépasser les 3 mois.
Le 19/01/2015 à 22h 05
Mais non. Ca leur fait de la pub à Google.
Au bout d’un certain moment ils vont publiés leurs stats disant : “Alors MS a été prévenu x fois, n’a jamais corrigé y vuln, et à mis plus de 3 mois à corriger z vulns.
Vous voyez ? Nous on les prévient, on leur laisse 3 mois pour tout corriger et eux ils se permettent de faire les difficiles”
Le 19/01/2015 à 16h 56
C’est de la gestion de risque après.
Est ce que MS prend le risque de sortir un patch corrigeant la vuln mais faisant planté un poste sur deux, ou alors MS se dit que de toute façon la faille reste compliqué à trouver ET à exploité, et que du coup ils peuvent prendre leur temps et s’assurer que le correctif ne fait pas régresser le système.