Blog Alsacréations

• juin 2008
• mai 2008
• avril 2008
• mars 2008
• février 2008
• janvier 2008
• décembre 2007
• novembre 2007
• octobre 2007
• septembre 2007
• août 2007
• juillet 2007
• juin 2007
• mai 2007
• avril 2007
• mars 2007
• février 2007
• janvier 2007
• décembre 2006
• novembre 2006
• octobre 2006
• septembre 2006
• août 2006
• juillet 2006
• juin 2006
• mai 2006
• avril 2006
• mars 2006
• février 2006
• janvier 2006
• décembre 2005
• novembre 2005
• octobre 2005
• septembre 2005
• août 2005
• juillet 2005
• juin 2005
• mai 2005
• avril 2005
• mars 2005
• février 2005
• janvier 2005
• décembre 2004
• novembre 2004
• octobre 2004
• septembre 2004
• août 2004
• juillet 2004
• juin 2004
• mai 2004

Le jeudi 29 juillet 2004 à 20:16, de Entre réel et numérique - par Lucas Janin :: #

Microsoft et ignorance : le couple gagnant pour les créateurs de virus et les spammeurs

Régulièrement, je reçois l'appel desesperé d'un de mes amis car son PC (évidement sous Windows) est inutilisable suite à contamination par un virus, trojan, backdoor ou autres. Et oui, j'ai le malheur d'en savoir un peu plus que la moyen, alors au lieu...

Le vendredi 25 juin 2004 à 00:21, par Raphael Goetter :: site :: #

Moi je prends toujours mes parents pour exemple des utilisateurs lambda : ils se reconnaissent entièrement dans la description faite sur le billet.

Ils ont des virus, ne savent pas pourquoi et ont peur d'ouvrir n'importe quel fichier joint sur leurs mails... pourtant ils utilisent encore outlook pour leur courrier et IE pour surfer, alors qu'ils sont les meilleurs vecteurs de virus actuellement.

Tout simplement parce que les gens ne savent pas. Il faut éduquer les gens. Les discours sont parfois un peu extrêmistes, je le concède, mais il faut en parler quand-même et faire ouvrir les yeux aux gens. Il n'y a pas QUE IE.

Le vendredi 25 juin 2004 à 00:45, par ElMoustiko :: site :: #

Oui j'avais déjà vu cet article a partir de standblog (pour ne citer personne ! ), et moi même j'y ai reconnu non pas mes parents mais certaines copines (oui au féminin, c'est peut etre une coincidence ... ? ) sont vraiment des utilisatrices moins que lambda, j'ai beau leur expliquer, elles ne veulent rien entendre, elles me disent : " pas de probleme avec internet (elles ne disent pas explorer, connaissent pas ... ), je vois pas pourquoi j'installerais un nouveau bidule (oui oui, bidule ! c'est comme ca qu'elles appelent ca ! ) alors que ca marche tres bien". Et moi face a ca, j'ai beau re-expliquer les raisons de ce conseil en long en large et en travers, j'en suis au même point. Il faudrait fournir aux utilisateurs lambda un navigateur conforme aux standard d'office, mais peut etre serions nous dans la politique de crosoft alors ? ! En tout cas IE est bien ancré dans les mentalités, même un copain qui pourtant utilise frequement internet et ses multiples fonctionnalité (DL massif pour ne citer que ca ! ) ne veux rien entendre, c'est pourtant quelqu'un d'intelligent qui peut comprendre un raisonement semi-complexe (pour les copines je dis pas, c'est des filles quand même), mais non il est bloqué sur son IE. Il n'y a guere que ma famille (toute ! ) et certaines connaissances virtuelles que j'ai reussi a convaincre ... Peut etre faut-il etre plus "inséré" dans le milieu de la conception web pour le comprendre ? Quoi que quand on voit les sites pro faits sois-disant par des webmasters ...

En tout cas super detente cet article !
(bien sur toutes mes remarques matchistes sont a prendre au 5eme degré (au moins), c'etait pour rester un peu dans le ton humoristique de l'article ! enfin c'etait un essai du moins ! )

@++

Le vendredi 25 juin 2004 à 10:07, par snoop :: site :: #

Même si je comprend tout à fait ta philosophie et celle de Ploum, il faut aussi se mettre à la place des utilisateurs lambas.
Et pour l'instant, le gros oeuvre appartient encore et surtout aux développeurs web, qui doivent s'efforcer de construire des sites web multi-plateformes et compatibles sur la majorité des navigateurs.
Au lieu de celà, l'utilisateur X va être conforté dans son choix d'utiliser Internet Explorer parceque les sites qu'ils voient ne s'affichent pas toujours correctement sur Mozilla & Co.

Ploum a beaucoup de talent de rédacteur (je crois surtout qu'il s'exerce à celà plutôt que de donner un article de fond), mais j'aimerais par exemple qu'il me prouve par A+B comment un Chinois (cf son texte) va obtenir mon code de carte bancaire rien que parceque je surfe sur IE, alors que je suis connecté à un site avec une liaison SSL 128 bits.
J'aimerais aussi savoir comment on peut obtenir avec IE des pop-ups de fesses en surfant sur un site "normal" : pour ma part, je n'ai jamais eu ce problème...
Donc, pour convaincre, il faut être rigoureux et sincère.
Au lieu de ça, je trouve qu'on est trop dans le côté : "Booouhhh !!!, t'es un ringard, tu surfe s sur IE !".
De même, un epièce jointe contenant un virus ne sera pas plus protégée sur Lotus Note que sur Outlook : aux utilisateurs de faire la démarche de mettre à jour leurs applications, de patcher, et d'adopter une conduite sécuritaire.
Des normes, et un code de conduite strict des développeurs, et la convertion à Mozilla & Co se fera naturellement avec le temps.

Le vendredi 25 juin 2004 à 10:18, par naf :: #

@ElMoustiko: si tes "copines" sont aussi peu réceptives à ton humour 35e degré que moi, ce n'est pas étonnant que ton message ait du mal à passer. Peut-être devrais-tu lire ceci?
blog-and-blues.org/weblog...

Un excellent billet pour éviter de prendre ses interlocuteurs pour des cons. Ce qui n'est pas toujours facile, j'en conviens

Le vendredi 25 juin 2004 à 10:33, par Raphael Goetter :: site :: #

@snoop : "mais j'aimerais par exemple qu'il me prouve par A+B comment un Chinois (cf son texte) va obtenir mon code de carte bancaire rien que parceque je surfe sur IE, alors que je suis connecté à un site avec une liaison SSL 128 bits."

>>> dreamweaver.media-box.net...

(pour tes autres exemples, ça doit se trouver aussi sans trop de peine)

Le vendredi 25 juin 2004 à 10:46, par Yoyo :: #

Mon probleme a moi que j'ai pour convaincre l'utilisateur "lambda" d'utiliser les alternatifs c'est que un paquet de sites (surtout marchands) ne fonctionnent *que* sur IE ! Ca ne me pose pas de probleme, j'utilise firefox et je me rends compte la plupart du temp que le site est un peu louche alors je lance IE et j'ai alors toutes les fonctionnalités du site. Mais comment expliquer à mes amis que "ah ben tu vois si tu cliques ici ca marche pas sous le firefox que je t'ai fait installer parce que le site carrouf-multimedia est mal écrit et ne respectent pas les standards" (EDIT: le site fonctionne maintenant sous firefox, d'ailleurs ce sont les soldes actuellement )

Le vendredi 25 juin 2004 à 10:56, par Raphael Goetter :: site :: #

Sinon, j'ai trouvé un autre lien bien sympathique : "101 trucs que Mozilla sait faire et que IE ne sait pas" : clx.anet.fr/spip/article....
Et sans oublier le classique comparatif d'Emmanuel Clément : emmanuel.clement.free.fr/...

Le vendredi 25 juin 2004 à 10:57, par Eric Daspet :: site :: #

> J'aimerais aussi savoir comment on peut obtenir avec IE des pop-ups de fesses en surfant
> sur un site "normal" : pour ma part, je n'ai jamais eu ce problème...

Mes parents ont le problème (enfin eux ce sont des popup de pub, pas uniquement à caractère sexuel). Au boulot, même chose, on a une machine sous windows pour les tests MSIE. À priori personne ne va dessus pour aller faire autre chose que le boulot (vu l'écran et l'ergo de la machine ça serait du vice) .. et bien on est envahis depuis quelques jours de popup de pub.
Des fois il suffit de cliquer sur un lien dans un forum ou un site, et quand on voit ce que c'est on part, mais le bidule méchant lui il est installé, trop tard. Des fois il suffit de lire un mail de spam avec outlook, et pas ce qui est installé c'est un bidule pour MSIE ...
Pour le n° de carte bancaire maintenant je te laisse imaginer si au lieu d'avoir un bidule qui intercepte les requetes pour rajouter des pubs et popup, le bidule se contente d'essayer de repérer des n° de carte bancaire. Ah ben non seulement la connexion SSL 156000 bits ne servira à rien (vu que le bidule a accès à ta machine avec les infos avant qu'elles soient cryptées) mais en plus tu risques de trainer ça un moment sans même savoir que ça existe sur ton ordinateur. Je n'ai jamais entendu parler d'un tel bidule pour les cartes bancaires, mais certains existent déjà pour traquer les mots de passe sur les gros sites connus (commerces ou webmail).

Le vendredi 25 juin 2004 à 12:06, par ElMoustiko :: site :: #

@naf > on a beau prevenir les gens, l'humour passe tres mal, c'est halucinant, je dis qu'il faut prendre ca au 5eme degré parceque j'ai exageré mes propos volontairement, mais nan, y a toujours quelqu'un pour prendre ca au 1er degré betement ... et nia et nia ... Je vois surtout pas le rapport avec le lien que tu m'as donné, faudrat que tu m'expliques ... En tout cas si t'es pas capable de faire la difference entre de l'ironie et une pensée franche, c'est bien dommage pour toi ...

@++

Le vendredi 25 juin 2004 à 12:14, par snoop :: site :: #

>> @Raphaël
Un extrait du lien que tu donnes plus haut : "...un bug d'Internet Explorer (ne pas rire encore) récemment découvert permet d'afficher dans les mails une URL différente de celle vers laquelle le lien pointe en réalité.
Il suffit pour cela d'inclure la chaîne de caractère "%01" dans le lien et d'y ajouter ensuite la véritable adresse."

Je ne comprend pas ; il est écrit qu'on peut cacher une URL dans les mails, pas sur un site ?

Si je suis sur un site avec paiement en ligne sécurisée qui me renvoie vers une banque, en quoi le fait d'être sur IE ou un autre navigateur va changer quelque chose.
A partir du moment ou je me connecte au site de ladite banque, où est le problème sauf à se faire passer pour une banque et ne pas en être une ?
Je ne prétend pas être un super pro de l'internet and Co. Il n'est donc pas étonnant que de simples utilisateurs ne soient pas convaincus par certaines explications qui visent plus à dénigrer qu'à expliquer.

@Eric Daspet > J'ai rien compris à ton explication sur les N° CB, tu nous fais un article détaillé là-dessus ?

Le vendredi 25 juin 2004 à 12:32, par Eric Daspet :: site :: #

Je vais parler en moins technique alors :

@Raph: Il est effectivement possible via un MSIE de faire croire qu'on est sur societegenerale.fr alors qu'on est en réalité sur monsiteamoi.mechantpirate.net (et c'est donc le pirate qui recoit les n° de carte). Mais bon, ça il y a un patch, il suffit de le télécharger et l'installer. Opera et Mozilla ont aussi eu des failles de ce coté, je ne crois pas que ce soit un argument contre MSIE vu que ça a été corrigé.

@snoop: le problème est que MSIE a plein de failles non corrigées et connues. Quand tu remplis le formulaire sur le site de paiement, tu transmet tes données en SSL : si quelqu'un "écoute" la conversation entre toi et la banque, il ne pourra pas décoder le numéro de la carte bancaire.
Par contre, les données ne sont cryptées que dans la transmission. Si tu as attrappé un virus/ver/spyware quelconque, il peut tout à fait savoir ce que tu envoies vu qu'il agit au niveau de MSIE et pas au niveau de la transmission réseau. Le problème est là que avec toutes les failles connues et non corrigées de MSIE et Outlook, c'est très facile d'avoir choppé auparavant un virus/ver/spyware sans le savoir.
Un de ces virus/ver/spyware les plus connu repère quand tu fais une recherche sur Google et change la page de résultat que tu vois pour y insérer un lien vers un site à lui. Quelle que soit ta recherche tu es sûr que dans les 5 premiers résultats tu tomberas sur un des sites de la boite qui a fait le spyware. Je te laisse imaginer ce que quelqu'un peut faire en voulant s'intéresser aux sites de banque plutot qu'à Google.

Le vendredi 25 juin 2004 à 12:44, par snoop :: #

Merci de tes explications, Eric.
C'est déjà beaucoup plus clair dans ma tête, et ce seul argument suffit.
Mais IE est-il vraiment le seul et unique navigateur capable d'une telle défaillance ?
Je me fais l'avocat du diable, mais pourquoi (en s'éloignant légèrement du sujet) les pirates ne s'attaquent-ils pas aux utilisateurs Macintosh ? Parcequ'ils sont infiniment minoritaire et que les dégats seraient bien faibles par rapport à l'énergie (malsaine) déployée.
N'en est-il pas de même pour IE ?
A savoir que si demain, 90% des internautes utilisent Mozilla, on trouvera des pervers (appelons un chat un chat) pour exploiter les failles de Mozilla.
Non ?

Le vendredi 25 juin 2004 à 12:50, par Raphael Goetter :: site :: #

@snoop : "A savoir que si demain, 90% des internautes utilisent Mozilla, on trouvera des pervers (appelons un chat un chat) pour exploiter les failles de Mozilla.
Non ?"

>>> A mon avis : oui, sans aucun doute. Mais alors, il existera un autre navigateur plus sûr et plus performant que Mozilla (IE8 ? :))

Le vendredi 25 juin 2004 à 13:00, par snoop :: site :: #

Oui, bon, d'ici là, les vers auront fait leur boulot.... :mgreen:

Le vendredi 25 juin 2004 à 16:36, par Eric Daspet :: #

> Mais IE est-il vraiment le seul et unique navigateur capable d'une telle défaillance ?

Non, clairement pas.
Maintenant on est d'accord, tous les navigateurs ont des bugs, Mozilla comme les autres. Et il est presque certain que le jour où il sera à 80% de part de marché(1) on y trouve beaucoup plus de failles qu'actuellement. À savoir si ça serait dans les même proportions c'est difficile à dire mais je rajouterai tout de même trois choses :
- MSIE a montré avoir été très léger avec certains principes de sécurité. On peut se demander à quel point les moteurs outlook et msie actuels ne trainent pas un gros historique de codage sans penser aux conséquences en sécurité. Dans les failles de MSIE il n'y avait pas que des bugs mais aussi de gros défauts d'architecture. Ça compte.
- Plus que le nombre de failles (qui peut être lié au % d'utilisation) je te suggère de regarder les temps de correction de failles. Il y a presque toujours eu entre 10 et 25 failles de sécurité non patchées pour Internet Explorer, certaines extrêment vieilles. Je pense que l'atout de mozilla et des concurent est surtout là : ils ne se moquent pas de la sécurité.
- Peu importe ce que ça serait (sera) avec un Mozilla à 80% de part de marché. Le fait est que actuellement, dans les faits, il vaut mieux tourner avec autre chose de MSIE. Le temps que ça s'inverse il sera toujours temps de trouver un autre navigateur

(1) et j'espere que ça n'arrivera jamais, le problème actuel du web ne vient pas réellement de Microsoft ou d'Internet Explorer, mais plus du monopole de fait sur les postes clients.

Le vendredi 25 juin 2004 à 17:06, par David Anseaume :: #

Il n'y a malheureusement pas que le navigateur qui fait la sécurité, la majorité des utilisateurs lambda utilisent le net avec un manque flagrant de culture du Web, nombreux se feraient avoir, si ils recevaient un mail dans leur boite aux lettre de quelqu'un se faisant passer pour leur banque, et leur demandant de remplir un formulaire sur une page web (page ayant la même charte graphique que leur banque, mais une adresse totalement differente, sans même parler de la faille qui comme le dit Eric à été corrigée)

Le vendredi 25 juin 2004 à 21:31, par Felipe :: site :: #

@Raphaël: Aargh, tu fais des liens vers une tribune Linuxfr maintenant :-S
Et un de ces 4, tu vas me demander d'installer Linusque (voire de le configurer!), je le sens.

Le vendredi 25 juin 2004 à 21:47, par Felipe :: site :: #

Ah ben c'était l'objet de l'avant-dernier point de l'article, ça m'apprendra à pas lire jusqu'au bout! (je me demandeque si tu vas te faire flamer ou pas pour avoir 2 liens pointant vers Alsa dans les commentaires :-D)

Le vendredi 25 juin 2004 à 23:56, par manatlan :: site :: #

hé les gars ... faut lire ...
C'était "un troll" sur linuxfr ! j'y avais même participé
Ploum a fait une blague

Le dimanche 27 juin 2004 à 01:19, par katsoura :: site :: #

IE vs le reste voilà un bon troll qui n'a jamais fini de faire jazer

Le dimanche 27 juin 2004 à 03:19, par Staz :: #

@snoop : pour le problème des urls, oui c'est très dangeureux et ca a déjà été exploité : des tas de personnes en espagne se sont fait arnaquer en pensant être sur le site de leur banque alors qu'elle n'y était pas malgré ce qu'indiquait l'url qu'ils voyaient.


Je ne me rappelle plus exactement la méthode utilisé dans ce cas mais c'est un truc qui me semble simple a mettre en oeuvre : tu copie le site actuel de la banque, tu envois un mail a plein de personne s leur disant qu'il y a un probleme avec leur compte et qu'ils doivent se logguer avec et tu fourni gracieusement un url qui pointe vers ton faux site mais qui apparait comme pointant vers le vrai du coup même s'il les gars vérifient l'url, pour eux c'est le vrai site et apres une fois qu'ils se sont loggués sur ton faux site, tu as leur password et tu peux acceder via le vrai site a leur compte.

Le dimanche 27 juin 2004 à 10:02, par Raphael Goetter :: site :: #

Si vous voulez, j'en rajoute une couche :
www.liberation.fr/page.ph...

" Microsoft n'a actuellement pas publié de logiciel correctif pour la faille de sécurité dans Internet Explorer."...
" Les versions pour Macintosh d'Internet Explorer ne sont pas concernées par le virus Scob, ni les navigateurs web non-Microsoft, comme Mozilla, Opera et Safari d'Apple Computer."

Le mardi 29 juin 2004 à 23:53, par Raphael Goetter :: site :: #

Encore un lien : "Peut-on encore faire confiance à Internet Explorer et à ses 153 bugs ?"
www.reseaux-telecoms.com/...

Le mercredi 30 juin 2004 à 08:04, par Chanchan :: site :: #

Elmoustiko : >>En tout cas IE est bien ancré dans les mentalités, même un copain qui pourtant utilise frequement internet et ses multiples fonctionnalité (DL massif pour ne citer que ca ! ) ne veux rien entendre, c'est pourtant quelqu'un d'intelligent qui peut comprendre un raisonement semi-complexe (pour les copines je dis pas, c'est des filles quand même), mais non il est bloqué sur son IE...

Horreur !!! Je suis une fille, et mon navigateur est Firefox !! Suis-je normal docteur ?

;-P

Le mercredi 7 juillet 2004 à 16:54, par Enro :: site :: #

Pour l'heure, le lien vers le texte de Ploum ne marche plus, je vous renvoie donc vers un wiki qui reprend le même texte : frimouvy.org/wiki/wakka.p...

Et pour plus d'infos (mais peut-on donner plus d'infos que Raphaël sur Alsacréations ? ), je me permets de donner aussi l'adresse d'un billet où je mentionne ce texte : www.enroweb.com/dotclear/...

Le vendredi 23 juillet 2004 à 19:19, par Shepard :: site :: #

Désolé, je n'ai pas pris la peine de lire tous les commentaires ( honte sur moi ) mais je pars en vacs dans deux heures alors je fais vite ^^

J'ai lu plus haut que snoop demandait si IE était le seul navigateur à avoir des failles ( cartes bancaires par exemple ).

Il y a trois "grandes" raisons ( selon moi ) pour lesquelles IE aurait plus de failles que mozilla, firefox ou autres:

1. Les crackeurs, ou chercheurs de failles, si tu comprends mieux comme ca, haïssent, pour la plupart, Internet Explorer. Certains sont même devenus hackeurs parce qu'ils détestaient IE ( j'en connais d'ailleurs un ). IE est donc une cible beaucoup plus prisée que les autres, et les hackeurs, plus nombreux, trouvent forcément plus de failles que sur les autres navigateurs.

2. Microsoft, il se fout un peu de IE. Pourquoi ? Parce qu'il ne leur rapporte rien. Du coup, les failles attendent parfois des mois, voire des années avant d'être corrigées. Par contre, pour les autres navigateurs, si une faille est détectée, elle sera corrigée dans les deux heures qui suivent, tu peux en être pratiquement sur !

3. Le code source de IE doit, à l'heure qu'il est, faire vraiment peut à voir. Des morceaux des sources d'IE ont circulé il y a quelques mois sur les Peer-to-Peer ( Emule, par exemple, ou KaZaa, plus connu ... ). J'en ais récupéré un package, c'est vraiement un assemblage de corrections apportées au code de base ... Un vrai bordel !!! Je comprends que les développeurs y réfléchissent à deux fois avant de tenter de corriger un bug ... Ca doit leur prendre des heures pour régler la moindre faille ...

Enfin bon, tout ca pour que tu voies les raisons pour lesquelles on découvre plus de bugs sous IE que sous les autres ... Je suis pratiquement persuadé que si tout les hackeurs cherchant des failles sous IE se mettaient tous à chercher sous Mozilla, on en trouverait également beaucoup en quelques mois ... Mozilla ne contient donc certainement pas beaucoup moins de failles que IE, mais c'est juste qu'elles sont moins exploitées, et que quand elles sont découvertes, elle sont corrigées immédiatement, je pense que beaucoup de failles ont été corrigées sans que l'on en sache jamais rien ...

Le mercredi 11 août 2004 à 13:51, par Mak77 :: #

yo shepard. Ton raisonnement est plutôt bon, mais lorsque tu dis que "Certains sont même devenus hackeurs parce qu'ils détestaient IE ( j'en connais d'ailleurs un )" tu me fais rire doucement ,sérieux crois-tu vraiment que l'on devienne hacker pour ce genre de connerie? le gars que tu connais est sans doute un ado prépubére du type lamer ou scriptkiddie (d'ailleurs tu lui mettras une droite de ma part stp) mais sûrement pas un hacker.
sur ce, bonnes vacances...

Le samedi 23 octobre 2004 à 20:02, par Slow Brain :: site :: #

Bonjour. j'utilise Fire fox depuis maintenet un moment (sacré choc quand je doit réutilise Internet Explorer sur d'autre micro). Vous parlez de pages qui ne s'affichent pas corectement sous fire fox et bien sous IE. moi je n'ai recontré qu'une seule fois le probléme : sur un truc trés pointu créer par accés et optimisé pour ne pas passer sous un autre navigateur que IE.