Flux RSS
108538 documents trouvés, affichage des résultats 5011 à 5020.
| < Les 10 documents précédents | Les 10 documents suivants > |
(10/02/2011 15:52:48)
Satya Nadella remplace Bob Muglia à la division Serveurs et Outils de Microsoft
Satya Nadella, âgé de 43 ans, prend la présidence de cette division, un poste que Bob Muglia a laissé vacant depuis l'annonce de son éviction en janvier dernier. En publiant cette nomination, Microsoft a souligné l'expertise de Satya Nadella dans le cloud computing, une compétence de l'entreprise considère comme essentielle pour trouver sa place dans le marché émergent des services de l'informatique en nuage. Steve Ballmer a souligné que le promu « a une expérience profonde sur le marché des serveurs et des services en ligne de Microsoft qui nous permettra d'accélérer le rythme de sortie de nos solutions et de travailler dans le même temps sur les offres cloud à venir ».
Satya Nadella était depuis 2007 en charge de l'ingénierie de la division des services en ligne de l'éditeur. Il a dirigé les travaux de lancement du moteur de recherche Bing, ainsi que les mises à jour du portail grand public Microsoft MSN et l'intégration des services publicitaires entre Yahoo et Bing. Avant cela, il était en charge des solutions Business de la firme de Redmond, en s'occupant notamment de la gamme Dynamics, qui comprend des ERP et des logiciels et services de CRM. Il est chez Microsoft depuis 19 ans.
L'activité Serveurs et Outils supervise notamment le système d'exploitation Windows Server, ainsi que le développement des outils d'administration. La division s'occupera également des offres de l'entreprise en matière de cloud computing, y compris la plateforme Windows Azure. Dans son nouveau rôle, Satya Nadella devra élaborer un plan technologique et une vision stratégique pour les serveurs et des outils logiciels dans un environnement cloud, précise Microsoft. Bob Muglia qui quittera la société à la mi-2011, va accompagner et aider son successeur dans son nouvel emploi.
Adobe corrige 42 vulnérabilités dans Reader X et Flash
Presque toutes les failles corrigées dans le lecteur PDF ont été qualifiées de «critiques» par Adobe, ce qui signifie qu'elles pourraient être exploitées par des attaquants pour introduire des logiciels malveillants sur un système non patché. Cependant, l'éditeur indique que pour plusieurs bugs, il n'est pas certain que l'exécution de code à distance soit possible. 2 failles parmi les 29 seraient vulnérables à des attaques dites «cross-site scripting » (XSS), une tactique banale utilisée par les voleurs d'identité qui ciblent les navigateurs Internet. En particulier, les pirates pourraient exploiter une de ces deux vulnérabilités - dans Windows seulement - pour s'octroyer des privilèges supplémentaires sur un ordinateur.
Beaucoup de bugs dans la version X du Reader
Selon l'avis publié par Adobe, environ la moitié des bugs identifiés dans le Reader X concernent le code d'analyse de fichier pour les polices de caractères, l'image ou la 3D. Tous les bugs, sauf 3, affectent le Reader X, cette version Windows du lecteur lancée en grande pompe par l'éditeur il y a trois mois. Elle comprend la fameuse SandBox, cette technologie qui permet d'isoler l'application de l'ordinateur pour arrêter, ou du moins emprisonner un code d'attaque pour l'empêcher de faire des ravages sur l'ensemble du système d'exploitation. La sandbox intégrée dans le Reader X est basée sur des technologies utilisées par Google et Microsoft : ainsi Google a « sandboxé » son navigateur Chrome, tandis que Microsoft utilise des défenses similaires pour protéger Internet Explorer et Office 2010 dans Windows. Il y a quelques semaines un chercheur avait trouvé une faille dans ce « mode protégé ». Un porte-parole de l'éditeur se veut rassurant « aucun des 26 bugs affectant le Reader X ne concernent la sandbox et ne peuvent donc pas être mis à profit pour contourner la protection. » Le Reader passe en versions 8.2.6, 9.4.2, et 10.0.1 pour Windows et Mac OS X. Les utilisateurs Linux devront quant à eux attendre jusqu'au 28 février, date à laquelle Adobe livrera les correctifs pour le Reader tournant sous ce système d'exploitation.
Flash mais aussi ColdFusion et Shockwave
Le Tuesday Patch publié met également mis à jour le plug-in Flash, corrigeant 13 vulnérabilités, toutes qualifiées de critiques, car susceptibles d'être exploitées pour exécuter du code malveillant. Adobe a précisé que 8 des 13 failles étaient liées à des problèmes de corruption de mémoire, tandis que les autres bugs été liées au chargement de bibliothèque, à un dépassement de nombre entier et à l'analyse de fonte. La mise à jour de sécurité fait passer Flash en version 10.2.152.26. Comme cela a été le cas il y a un an environ, les utilisateurs de Google Chrome ont pu profiter de la nouvelle version de Flash via une mise à jour du navigateur, également publiée mardi. Adobe a également livré des mises à jour de sécurité pour ColdFusion, son serveur d'applications web de classe entreprise, et pour Shockwave, un player assez répandu pour lire des contenus online animés. « On aurait dit qu'Adobe était prête pour ce cycle de patch ! » a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security, dans une interview. « J'ai été surpris par cette coordination. » Selon Adobe, « cette coordination est sans doute exceptionnelle, parce que le Reader et son cousin Acrobat sont patchés régulièrement. » Reste que, comme le dit Wiebke Lips, la porte-parole d'Adobe, « chaque fois que possible, l'éditeur tente de prévoir, en même temps que le Tuesday Patch, la livraison de mises à jour de sécurité pour d'autres produits. » Cette fois, le calendrier a inclus Flash Player, ColdFusion et le player Shockwave.
Du tout ou rien
Cependant, si Andrew Storm se félicité de la mise à jour simultanée de plusieurs produits d'Adobe, il souligne que l'éditeur continue à livrer des mises à jour de sécurité « tout-ou-rien, » contrairement à Microsoft qui répartit ses correctifs en plusieurs avis séparés, laissant le choix aux utilisateurs de les déployer ou non, selon leur configuration. « C'est du genre à prendre ou à laisser, ça manque de nuances, » estime Andrew Storm. « Pratiquement tout est du code à distance et nous n'avons aucune possibilité d'en avoir un aperçu pour faire un choix, si cela s'avérait nécessaire, pour une raison ou une autre. » À cet égard, les mises à jour de sécurité d'Adobe ressemblent plus à celles d'Apple qu'à celles de Microsoft. « La seule différence, c'est que, avec Adobe, nous savons à quel moment le déjeuner sera servi, » a déclaré le directeur des opérations, évoquant la planification des mises à jour faite par Adobe, contrairement à Apple.
Adobe Reader et Flash pour Windows et Mac OS X peuvent être téléchargés via les liens inclus dans les avis publiés mardi. Mais, comme toujours, les utilisateurs peuvent récupérer les nouvelles versions via les mécanismes de mise à jour intégrés.
Les femmes et les seniors de plus en plus connectés
Les femmes représentent désormais 49% des Internautes français, selon la dernière vague de l'étude Observatoire des usages Internet de l'institut Médiamétrie livrée mercredi 9 février. En 2010, 66% des femmes s'étaient connectées au web les mois précédents contre seulement 24% en 2001. La population française globale d'internautes est passée, elle, de 16 à 38 millions dans le même temps.
Les seniors font également une entrée remarquée sur Internet. Le nombre de personnes âgées de 65 ans et plus qui se sont connectées durant les derniers mois a été multiplé par huit entre 2001 et 2010. La proportion des moins de 25 ans, qui représentaient 40% des Internautes français en 2001, chute pour atteindre 25%.
La messagerie électronique demeure l'activité principale des internautes français (86%). La messagerie instantanée représente, elle, 47% du temps passé sur le web. 59% des personnes connectées à Internet sont par ailleurs inscrites sur un réseau social alors que 73% des internautes achètent en ligne. Le taux de confiance pour le shopping sur Internet affiche 66%.
(...)(10/02/2011 11:15:12)Le Club des utilisateurs de Business Objects se fond dans l'USF
(Mise à jour le 15/02/2011) Depuis le rachat de Business Objects par SAP, et surtout l'intégration d'une offre décisionnelle globale par l'éditeur allemand, l'avenir du club des utilisateurs de Business Objects était pour le moins en suspens. Le souhait de l'USF (Utilisateurs de SAP Francophones) de constituer son propre pôle de commissions sur le décisionnel (consacré à l'ensemble des modules décisionnels de SAP, dont BO) allait aussi dans ce sens. Dernier coup du sort, la société assurant la délégation générale du Club BO a souhaité cesser ce service. Créé en 1993, le Club Business Objects France a donc réuni une assemblée générale pour se dissoudre le 10 février 2011.
Au fil du temps, 2000 personnes sont passées par cette association qui réunissait des représentants de 150 à 200 entreprises. Les membres seront invités à rejoindre l'USF. Le club BO a négocié avec cette dernière association son ralliement pour lui apporter non seulement ses membres mais aussi son expérience et ses savoirs. Claude Molly-Miton, président de l'USF, a spécifié : « L'idée était que les membres du Club BO ne perdent rien de leurs méthodes et expériences mais gagnent les apports propres de l'USF, notamment en termes d'influence sur l'éditeur et en compétence sur les autres modules ».
Une intégration des dirigeants du club BO dans l'USF
Deux nouveaux administrateurs issus du Club BO vont ainsi rejoindre la direction de l'USF (Damien Poulard, du CEA, et Anthony Girard, du Musée du Louvre). De plus, la direction de la commission BO de l'USF va revenir aux anciens du Club BO. La nouvelle commission va ainsi calquer son fonctionnement sur celui du Club BO, avec réunions plénières et ateliers restreints selon un calendrier défini par sa direction propre. La commission BO de l'USF va prendre place dans un « pôle décisionnel » aux côtés des autres commissions consacrées à des modules de ce type.
Olivier Le Moing, président du Club BO, indique : « plusieurs personnes de SAP nous avaient contacté plusieurs fois pour nous inciter à nous rallier à l'USF. Un tel rapprochement avait du sens mais pas d'urgence, donc nous avons pris notre temps pour discuter avec l'USF qui souhaitait aussi cette union. Cependant, il n'y a jamais eu de prise de position officielle de l'éditeur. » Une telle prise de position aurait été pour le moins malvenue.
Cotisations moins chères mais plus aucun prestataire adhérent
Ce ralliement se fait au prix de la perte d'une dizaine de membres, des prestataires. Seuls les utilisateurs peuvent en effet adhérer à l'USF. « Mais chaque commission peut inviter des prestataires à ses travaux, nos anciens membres ayant toujours joué le jeu en apportant une vraie valeur ajoutée » souligne Olivier Le Moing, président du Club BO. Salarié de Sopra Group, il est concerné au premier chef par la question. Mais, pour son cas personnel, une solution a été trouvée : « je vais devenir membre honoraire à titre personnel et non plus au nom de mon employeur ». Les prestataires pourront donc continuer d'apporter leur propre expérience au sein de la nouvelle commission de l'USF. « La réflexion sur l'adhésion des prestataires a été faite avant l'idée d'un rapprochement avec le Club BO et nous ne les acceptons qu'en tant qu'utilisateurs de SAP pour eux-mêmes et donc sous réserve de n'être représentés que par ceux qui gèrent SAP en interne chez eux » ajoute Claude Molly-Mitton.
[[page]]
Beaucoup d'utilisateurs de BO ne sont pas utilisateurs d'autres produits de SAP voire utilisent un autre PGI. A l'inverse, de nombreux clients du PGI de SAP utilisent d'autres outils que BO pour leur décisionnel. Les membres qui utilisent les deux produits et adhéraient déjà aux deux associations vont donc économiser une cotisation. Les adhérents du Club BO bénéficiaient d'une cotisation individuelle de 560 euros/an et sont donc, s'ils souhaitent conserver le même mode de fonctionnement, invités à choisir la cotisation de l'USF pour un individu participant à une seule commission d'un montant de 400 euros/an. Pour 200 euros de plus, un individu donné peut adhérer à une deuxième commission.
Pas de fusion juridique mais de grands projets
Sur le plan juridique, il s'agit bien d'une dissolution avec incitation des membres à adhérer chacun individuellement à l'USF et pas d'une fusion. « Recourir à une fusion aurait été très compliqué pour pas grand chose » plaide Olivier Le Moing.
Le Club BO n'acceptait plus de nouveaux adhérents depuis six mois, dans l'attente d'une décision finale sur son devenir, et ne disposait pas d'actifs non-financiers ayant une valeur économique. Sa trésorerie a été asséchée par un apéritif final d'assemblée générale. Il n'est donc même pas nécessaire de recourir à une dévolution des actifs au profit de l'USF.
Profiter de la proximité géographique
Ce rapprochement « pour être plus forts ensemble », selon le mot de Claude Molly-Mitton, va cependant permettre de ressortir du placard un vieux projet prenant en compte la situation propre de la France. En effet, les équipes de développement de SAP consacrées aux différents outils décisionnels de l'éditeur se situent pour l'essentiel en France. Claude Molly-Mitton espère pouvoir profiter de la proximité géographique et culturelle entre les membres de l'USF et ces développeurs.
« L'idée serait de faire se rencontrer ou discuter les chefs de projets produits chez SAP et les responsables des commissions consacrées à ces produits pour faire converger le plus en amont possible les attentes des utilisateurs et la feuille de route de l'éditeur, même si l'on attend toujours de l'éditeur qu'il innove et nous surprenne » explique Claude Molly-Mitton.
Baromètre HiTech Pros : Lueurs d'espoir dans la demande des compétences IT
En ce début d'année 2011, la demande en compétences informatiques est toujours en baisse par rapport à l'année dernière selon le baromètre HiTechPros/CIO. Ainsi, entre janvier 2010 et janvier 2011, on constate une diminution des demandes en compétences informatiques de la part des SSII et DSI de 7,9 %. En revanche, le baromètre affiche une amélioration des demandes clients par rapport à décembre 2010, un résultat qui peut être encourageant. On peut espérer que le baromètre continue sur cette voie.
Pour cette nouvelle année on constate un léger changement d'ordre pour les catégories techniques les plus demandées par rapport à décembre 2010. En effet, les compétences les plus recherchées sont actuellement : « Nouvelles technologies » (31 % des demandes) qui reprend sa place de première catégorie technique la plus prisée. Suivent, dans l'ordre, « Systèmes, réseaux, sécurité » (24 % des demandes) et « Consulting Expertise » (11 % des demandes). Il faut noter que la catégorie « CRM, Décisionnel, Datamining », avec 10 % des demandes, se rapproche de plus en plus du trio de tête. Son entrée peut être envisagée pour le mois prochain.
Les plus fortes augmentations en termes de demandes ce mois-ci concernent les catégories techniques suivantes : CRM, Décisionnel, Datamining (+25,9 %), ERP (+25 %) et recette, support utilisateurs (+13 %). A l'inverse, les catégories techniques affectées par les plus fortes baisses de la demande ce mois-ci sont : Nouvelles technologies (- 18,6 %), Consulting expertise (- 31,5 %) et Client serveur (- 44,9 %).
Les fusions-acquisitions dans l'IT ont redémarré en 2010
Selon le baromètre IT du cabinet AP Management, le marché français des fusions-acquisitions est reparti à la hausse en 2010 après deux années de baisse consécutives. Ce n'est pas tant le nombre d'opérations réalisées sur des sociétés de l'Hexagone, passé de 107 en 2009 à 119 l'an dernier, qui illustre le mieux cette conclusion. La donnée la plus probante réside plutôt dans le montant des chiffres d'affaires cumulés des entreprises rachetées qui s'est apprécié de 26% à 924 M€. Ce qui porte, pour 2010, le montant moyen des fusions et acquisitions à 7,7 M€ contre 7 M€ environ un an plus tôt.
Dans 82% des cas, les entreprises se font racheter par des sociétés de même nationalité. Leurs homologues européennes (britanniques et allemandes principalement) et d'Amérique du Nord ne représentent respectivement que 11% et 5% des acquéreurs. Autre constat, les sociétés rachetées sont en majorité des SSII (58% des cas), les éditeurs ne représentant donc que 42% des 119 fusions et acquisitions recensées par le baromètre IT d'AP Management. Cependant, le poids des éditeurs s'est renforcé puisque ils ne furent les cibles que de 40 transactions en 2009 contre 50 en 2010. C'est d'ailleurs en très grande partie grâce à eux que le nombre total des rachats de sociétés IT françaises a progressé en 2010. Reste que sur les 924 M€ de revenus cumulés que généraient les entreprises françaises acquises l'an dernier, 69% (638 M€) étaient réalisés par des SSII contre 31% (286 M€) par des éditeurs.
75% des rachats ciblent de sociétés de moins de 7,5 M€ de CA
Preuve en est que ces derniers font l'objet de transactions d'un montant moindre (5,8 M€ en moyenne) que les SSII (9,3 M€). Mais qu'elles soient SSII ou éditeur, les entreprises rachetées sont en général de petites cibles. De fait, 75% des transactions réalisées en 2010 portaient sur des sociétés réalisant un chiffre d'affaires inférieur à 7,5 M€. En comparaison, 7% d'entre elles affichaient des revenus compris entre 7,5 et 15 M€, contre 15% pour celles ayant dégagé un volume d'activité compris entre 15 et 75 M€. Aucune société réalisant plus de 75 M€ de chiffre d'affaires n'a en revanche été acquise l'an dernier, tout comme ce fut le cas en 2008.
« L'an dernier restera comme un millésime de reprise pour les fusions-acquisitions. 2011 s'amorce sur une note d'optimisme avec un premier trimestre qui voit le retour des fonds de private equity sur le marché. L'appétit retrouvé des industriels, le rebond attendu des dépenses IT des grands comptes et, surtout, un regain de confiance et de visibilité », conclut Pierre-Yves Dargaud, le président d'AP Management.
Les éditeurs de logiciel créent un site dédié au grand emprunt
L'Afdel a poussé à la roue pour que le grand emprunt intègre une dimension IT en particulier dans le domaine du cloud. Elle passe aujourd'hui à la vitesse supérieure pour faciliter aux éditeurs l'accès à ce grand emprunt, en créant un site dédié : http://www.investirdanslenumerique.fr/
« Le site est avant tout ergonomique et pédagogique », note Loïc Riviere délégué général de l'Association, « nous n'avons pas fait du simple copier-coller » de textes existants, mais pensé le site en fonction des demandes et des démarches des éditeurs ». Outre cette accessibilité, le site est collaboratif. C'est une exigence de l'Etat qui va privilégier les projets portés à la fois par des entreprises et par des laboratoires de recherche. Le site permet donc aux éditeurs de s'associer et de trouver un partenaire public ou parapublic. « Dans la démarche du grand emprunt, l'éditeur doit démontrer sa capacité à évoluer dans un écosystème. L'Etat est également attentif à l'impact économique du projet, en particulier en matière de création d'emplois ». Prochaine étape, le site proposera de liens vers des financements : JEI, CIR, Oséo, fonds européens.
L'Afdel se lance dans un nouveau rôle de catalyseur, autour de la démarche du grand emprunt, en intégrant la logique donnant/donnant de l'Etat : des subventions en échange de retombées économiques.
Un malware naît toute les 15 secondes sur la Toile
Un logiciel malveillant, ou malware, apparaît sur Internet toutes les quinze secondes, selon l'étude Malware Report de G Data Software, éditeur de solutions de sécurité. Le rapport a dénombré plus de 2 millions de codes nuisibles sur la Toile en 2010, un chiffre en progression de 32% comparé à l'année précédente.
Les créateurs de malware jetteraient de plus en plus leur dévolu sur les failles de la plateforme Java. Le nombre de codes malveillants destinés à ou créés dans ce langage informatique, très commun sur Internet, a été multiplié par 16 entre fin 2009 et fin 2010. G Data Software offre toutefois un peu d'espoir aux internautes. D'après Ralf Benzmüller, son directeur, la croissance du nombre de logiciels malveillants devrait ralentir en 2011.
La société prévoit pour l'année une hausse de l'hacktivisme mis en pratique et sous les feux de l'actualité via le soutien à Wikileaks en début d'année. Les pratiques de cyberespionnage et cybersabotage pourraient s'étendre aussi, notamment dans les réseaux sociaux.
Gartner : Ventes de mobiles vers une redistribution des parts de marché
Selon le cabinet Gartner, 1,596 milliard de téléphones portables ont été vendus dans le monde en 2010, soit 385 millions d'unités de plus par rapport à 2009. Les smartphones ont quant à eux représenté 19% des ventes globales de mobiles, soit près de 300 millions d'unités (contre 172 millions en 2009).
Cette forte croissance est liée à un contexte économique plus favorable que les années précédentes, ainsi qu'à une reprise de la consommation au quatrième trimestre. Sur les trois derniers mois de l'année, l'achat de mobiles a augmenté de 32,7%. Selon Gartner, la demande a été telle fin 2010 que les fabricants vont être confrontés à une pénurie de modules de caméras et d'écrans. « Cette situation devrait durer, au moins jusqu'au second semestre 2011 » prévient Carolina Milanesi, analyste pour le cabinet d'études.
Un leader fragile et des outsiders ambitieux
Sur le marché mondial, Nokia reste la marque la plus populaire. La marque finlandaise a vendu à elle seule 461 millions d'appareils, soit plus d'un exemplaire sur quatre (28,9%). Mais le géant du mobile, qui a tardé à prendre le virage des téléphones multimédia, est en chute libre. Il y a à peine deux ans, Nokia pesait pour 40% du marché mondial. Numéro deux, Samsung a vu ses ventes progresser (281 millions d'unités en 2010, contre 235 millions en 2009), mais ses parts de marché ont diminué face à la concurrence (17,6% en 2010 contre 19,5% en 2009). Son compatriote LG complète le podium, malgré des chiffres en berne. Le groupe canadien Research In Motion, fabricant des BlackBerry, et Apple, profitent du succès de leurs smartphones pour s'inviter dans le top 5 des ventes au détriment de Sony Ericsson et Motorola. Au total, RIM a écoulé 47,4 millions de BlackBerry en 2010, contre 46,6 millions d'iPhone. A noter également, les bonnes performances des fabricants asiatiques, notamment le fabricant taïwanais HTC, dont les ventes ont plus que doublé en un an.
Sur le segment des smartphones, les terminaux fonctionnant sous la plateforme Android sont les grands gagnants de l'année. 67 millions de Google Phone ont été achetés en 2010, contre moins de 7 millions l'année précédente. Android a progressé de 888,8% en 2010 et devient le numéro 2 du marché. Les ventes de smartphones Android au quatrième trimestre ont été portées par la multiplication de modèles haut de gamme de HTC (gamme Desire, Incredible et EVO), Samsung (Galaxy S) et Motorola (Droid X, Droid 2).
Symbian, la plateforme de Nokia, reste le fragile leader du marché des smartphones. Les BlackBerry complètent le podium, et devancent l'iPhone d'Apple. Microsoft, qui n'a lancé ses Windows Phone 7 qu'à l'automne, est en forte baisse.
TippingPoint inaugure sa politique de diffusion et révèle 22 failles non patchées
En août dernier, HP TippingPoint, le plus grand programme mondial de collecte d'erreurs, avait annoncé qu'il respecterait un délai de six mois avant de rendre public les vulnérabilités achetées à des chercheurs indépendants via la Zero Day Initiative (ZDI) y compris si elles n'étaient pas corrigées dans ce délai. Auparavant, la politique de ZDI consistait à garder indéfiniment le silence sur une vulnérabilité après l'avoir signalé à un éditeur, et à livrer son propre avis uniquement après qu'un patch ait été publié. Comme promis, TippingPoint vient donc de publier son premier avis concernant environ deux douzaines de vulnérabilités non patchées, dont certaines avaient été signalées aux développeurs il y a plus de deux ans et demi. 9 des 22 failles concernent un logiciel d'IBM, 5 concernent des programmes de Microsoft, 4 se trouvent dans un programme d'Hewlett-Packard et les quatre dernières concernent respectivement des produits de CA, EMC, Novell et SCO.
Obliger les vendeurs à ne pas ignorer les vulnérabilités
Les 5 vulnérabilités de Microsoft révélées par TippingPoint se trouvent dans les applications Office, et précisément 4 dans Excel, et la 5ème dans PowerPoint. Microsoft a déclaré qu'elle avait l'intention de corriger les 5 failles dans le cadre de sa mise à jour de sécurité mensuelle Patch Tuesday, mais s'est ravisée à la dernière minute. « Microsoft connaissait les 5 vulnérabilités divulguées par ZDI et devait y remédier dans le cadre normal de son cycle de diffusion dont l'échéance arrivait en février, » a déclaré Jerry Bryant, responsable au sein du Microsoft Security Response Center (MSRC). « Cependant, au cours du processus, nous avons découvert des problèmes susceptibles d'empêcher le déploiement de la mise à jour par nos clients et nous avons choisi de retirer ce correctif du dernier bulletin pour un développement supplémentaire. » TippingPoint dit avoir alerté il y a plus de sept mois un développeur de Redmond sur 4 des 5 vulnérabilités encore non corrigées. « Le couperet de la date limite oblige les éditeurs à ne pas ignorer les vulnérabilités, » a déclaré Dan Holden, directeur du DVLabs de TippingPoint. « C'est comme pour la conformité en matière de sécurité. Cela oblige les fournisseurs à respecter une échéance et de se mettre en conformité. Et nous ne voulons pas que les bugs restent sans solutions pendant des années. »
Google avait déjà proposé un délai de deux mois
La décision de TippingPoint d'imposer une date limite est venue après des mesures similaires prises par d'autres l'été dernier. Ainsi, en Juillet 2010, Google avait relancé le débat à propos des bogues en proposant, entre autres choses, que les chercheurs s'imposent un délai de 60 jours maximum. Google faisait alors valoir que les chercheurs seraient libres de rendre publiques leurs conclusions dans le cas où un patch n'aurait pas été fourni dans ce délai de deux mois. Quelques jours plus tard, Microsoft répondait en disant qu'elle voulait changer le terme de « divulgation responsable » en « divulgation coordonnée des vulnérabilités » pour mieux refléter sa politique et retirer du débat le mot « responsable », trop connoté selon elle. Pourtant, lorsque TippingPoint avait fait part de son intention de changer les règles, Microsoft n'y avait pas prêté tellement d'attention.
[[page]]
Selon l'éditeur, les bogues ne devaient être révélés « que dans le cas d'attaques actives... et juste avant qu'un correctif soit prêt à livrer, » comme l'avait déclaré à l'époque Dave Forstrom, directeur du Microsoft Trustworthy Computing Group. « Et même dans ce cas, cette divulgation doit être coordonnée aussi étroitement que possible. » Aujourd'hui, Jerry Bryant a indiqué que « Microsoft se félicitait que ZDI ait choisi de révéler un minimum d'informations sur chaque vulnérabilité, diminuant la probabilité que des attaquants puissent mettre à profit ces éléments contre les utilisateurs. »
Des avis a minima et des solutions de contournement
Les avis publiés par TippingPoint ne précisent pas en effet comment un bug non corrigé peut être déclenché, mais ils fournissent des informations générales sur l'endroit où se trouve le bug, et dans de nombreux cas, donnent des solutions de contournement pour aider les utilisateurs à se protéger jusqu'à ce qu'un correctif soit publié. « Nous ne publions qu'une description générale de la vulnérabilité, et n'indiquons pas précisément où elle se trouve », a déclaré Aaron Portnoy, directeur de l'équipe de recherche en sécurité chez TippingPoint. « Nous livrons les mesures d'atténuation, certaines fournies par les vendeurs, d'autres par des chercheurs indépendants qui signalent les failles et d'autres encore apportées par notre propre équipe. Notre but est de fournir des solutions de contournement qui fonctionnent, peu importe d'où elles proviennent » a ajouté Aaron Portnoy. Parmi les 5 avis publiés par TippingPoint sur les failles trouvées dans les logiciels de Microsoft, tous contiennent des recommandations destinées à aider les utilisateurs à protéger leurs ordinateurs en attendant la livraison d'un correctif. Selon le responsable de TippingPoint, ce changement dans la politique de divulgation est un succès. « La réponse a été extrêmement positive, » a t-il affirmé, ajoutant que près de 90% des bugs signalés au programme depuis août dernier avait été corrigés dans le délai imposé de six mois. Selon lui, même Microsoft a « globalement bien accepté » le principe. « L'équipe qui travaille sur la sécurité des produits chez Microsoft a bien compris les motifs, et s'est dite très favorable, même si dans son ensemble l'entreprise n'apprécie plutôt guère, » a déclaré Aaron Portnoy, ajoutant que TippingPoint n'avait pas constaté de refus de la part des éditeurs à propos de ces délais.
Des dérogations, dans des cas précis
TippingPoint reconnait cependant avoir accepté d'allonger les délais pour certaines vulnérabilités affectant des logiciels de Microsoft, Apple et Sun Microsystems « pour diverses raisons, » selon Aaron Portnoy. La question du changement de propriété intellectuelle a été un facteur parmi d'autres qui a joué dans la décision concernant les bugs trouvés dans certains logiciels de Sun, acquis par Oracle l'année dernière. «Quand une nouvelle entreprise arrive, nous prolongeons le délai de six mois, » a déclaré le responsable de TippingPoint. Microsoft a pu, dans certains cas, bénéficier d'un sursis, notamment quand les bugs doivent être corrigés un peu plus tard dans le cadre des mises à jour de sécurité mensuelles effectuées par l'éditeur.
| < Les 10 documents précédents | Les 10 documents suivants > |