ACTUALITES

Menace accrue sur certaines versions d'Outlook Express

Par Jérôme Saiz Lesnouvelles.net le 27/06/2005 - indexel.net

La communauté des pirates s'intéresse de près à une vulnérabilité découverte sur certaines versions d'Outlook Express. Elle permettrait la prise de contrôle de l'ordinateur lors de la visite d'un site de discussion piégé. Windows 2000 avec les SP3 et 4, Windows XP SP1 et Windows Server 2003 sont concernés.

Un code d'exploitation vient d'être publié sur le web pour prendre le contrôle des PC sous Windows à travers une faille d'Outlook Express. Il suffit pour cela de visiter une liste de discussion (un newsgroup) contrôlée par le pirate. Et il n'est pas nécessaire de démarrer Outlook Express pour en être victime. La menace est toutefois d'une portée plutôt limitée pour le grand public : elle ne concerne pas Windows XP avec le SP2. Pour les entreprises, en revanche, c'est une autre histoire : le SP2 est loin d'être majoritaire sur les postes de travail, et même Windows XP "tout court" n'y est pas massivement installé. On trouve encore beaucoup de postes sous Windows 2000 (SP3 et SP4), qui eux sont tout à fait vulnérables. Et puis la faille touche également Windows Server 2003, XP SP1, XP 64 bits et 98, c'est-à-dire des systèmes que l'on rencontrera beaucoup plus facilement en entreprise.

Jusqu'à présent purement théorique, la menace s'est accrue avec la publication sur Internet d'un code de démonstration. Il s'agit généralement de l'étape préliminaire avant une exploitation plus large par des pirates moins doués qui étaient jusque-là incapables de se débrouiller tous seuls. Un bémol toutefois : à en croire des experts cités dans la presse anglo-saxonne, le code publié n'est pas franchement stable et il exige encore une certaine dose de collaboration de la part de l'utilisateur. Cependant, l'histoire a montré que, d'une part, ce genre de code est rapidement amélioré s'il a le moindre potentiel d'efficacité, et d'autre part qu'une vaste majorité d'utilisateurs est tout à fait prête à collaborer, soit en cliquant à peu près n'importe où sans vraiment lire les messages d'erreur, soit tout simplement parce qu'on le leur demande.

Bref, autant ne pas trop compter sur la chance et passer directement à l'étape "mise à jour des systèmes". Microsoft a d'ailleurs publié les correctifs nécessaires sur son site, et cela pour chaque plate-forme concernée. Il est donc grand temps de relancer la patcheuse pour ceux qui auraient oublié la livraison des correctifs du mois de juin !

Plus d'informations :

La liste des correctifs Microsoft du mois de juin 2005 (en français).

L'alerte spécifique à Outlook Express et les liens de téléchargement des correctifs (en français).

L'ACTUALITE EN DIRECT

		Les PME adoptent massivement la virtualisation
		Périphériques mobiles : la guerre des brevets bat son plein
		Réseaux sociaux et productivité des entreprises, les cadres y croient !
		Sécurité et mobilité : un mariage bancal
		Cybercriminalité : des attaques moins nombreuses mais plus virulentes
		Open Office fait son retour après un an d’immobilisme
		La CNIL lance une enquête sur la sécurité de NFC
		Consumérisation de l’IT : des directions informatiques dépassées
		Légère régression du piratage de logiciels en France
		Le marché du cloud ne connaît toujours pas la crise

		Les PME adoptent massivement la virtualisation
		Périphériques mobiles : la guerre des brevets bat son plein
		Réseaux sociaux et productivité des entreprises, les cadres y croient !
		Sécurité et mobilité : un mariage bancal
		Cybercriminalité : des attaques moins nombreuses mais plus virulentes
		Open Office fait son retour après un an d’immobilisme
		La CNIL lance une enquête sur la sécurité de NFC
		Consumérisation de l’IT : des directions informatiques dépassées
		Légère régression du piratage de logiciels en France
		Le marché du cloud ne connaît toujours pas la crise

TOUTES LES ACTUS