Découverte voici plus d'un an, la faille dans la version Windows du lecteur multimédia est-elle corrigée à temps ?
Découverte voici plus d'un an, la faille dans la version Windows du lecteur multimédia est-elle corrigée à temps ?
La dernière mise à jour d'Apple sur QuickTime est une nouvelle démonstration d'une erreur par manque de réactivité d'un éditeur qui peut coûter très cher.
En effet, c'est en septembre 2006 que l'expert en sécurité Petko D. Petkov révélait pour la première fois l'existence de deux failles dans la version Windows de QuickTime (sous XP et Vista).
Très rapidement, Apple a corrigé l'une des failles. Mais la seconde, qui permet d'exécuter un code malicieux à l'ouverture d'un fichier QTL spécialement affecté, est restée ouverte.
Constatant l'absence de réactivité d'Apple, Petko Petkov s'est livré à un exercice périlleux mais hautement démonstratif, concevoir une preuve de concept qui exploite la faille.
Et c'est là que l'on constate la gravité de l'affaire, car si un expert peut agir ainsi, un développeur mafieux peut faire de même - mais pas sur le modèle de la preuve de concept ! - et exploiter la faille connue de tous depuis si longtemps pour pénétrer les systèmes.
C'est d'ailleurs au vu de la preuve de concept que Mozilla a confirmé que sous Firefox, la faille dans QuickTime permettrait à un hacker mal intentionné d'ouvrir une porte béante («backdoor») sur le poste. L'éditeur a immédiatement modifié son navigateur pour se protéger de la menace.
En revanche, Apple a continué de jouer aux abonnés absents, jusqu'à ce mercredi où l'éditeur a enfin daigné corriger QuickTime.
Apple a également confirmé que la faille ne concerne pas son système d'exploitation Mac OS X, même sous Firefox. Dont acte. Cependant, même si la faille n'a pas été officiellement exploitée, Apple a fait très fort en mettant un an pour la corriger. Une telle attitude a fait courir un risque grave aux utilisateurs.