Les codes sources de Windows 2000 et NT dans la nature !
|
Par Marc Olanié (Réseaux & Télécoms) - Le code source de Windows 2000 est dans la nature. L’affaire a initialement été révélée par Neowin puis rapidement confirmée par une intervention d’un porte parole de Microsoft, Tom Pilla, à l’occasion d’une . Propos relayés par Komo News, SV.Com et même MSNBC, satellite de la branche audio-visuelle de la « victime ». Un problème de communication interne ?
|
|
La BBC en faisait également ses choux gras de l’histoire, suivie par eWeek puis Slashdot, tandis que Betanews parvient à fournir des renseignements plus précis : le vol, pratiqué sur le réseau même de « Corp », porterait sur 30 915 fichiers, totalisant 13,5 millions de lignes de code. Le source en question serait daté du 25 juillet 2000, après donc la date officielle de lancement de la version concernée. Une telle précision sur le forfait ne laisse planer aucun doute. D’autant plus que certaines « contributions » relevées sur quelques forums laisseraient entendre que les « données perdues » auraient été retrouvées sur des canaux d’échange P2P et des serveurs ftp.
Est-il nécessaire de préciser que la nouvelle a fait autant d’effet, au sein de la communauté des chasseurs de failles, que la réaction exothermique de Nagasaki ou qu’une commande de coca cola adressée à Philippe Faure-Brac. Le source de 2000 dans la nature, c’est le risque de voir exploité des failles en « zero day exploit » s’appuyant sur des petits détails, des appels non documentés, des « points de debug » laissés en friche… tiens, ajoutons au passage le fameux mythe de la backdoor de la NSA, les plugs potentiels du défragmenteur scientologue, les trappes de la Nouvelle Grande Loge de Seattle –ordre technologique, nouveau et accepté-… çà fait froid dans le DDoS.
Les plus floués, dans l’histoire, ce sont les DSI des grandes administrations, des groupes internationaux qui ont signé et payé un droit de lecture des sources du noyau de Windows NT. Si d’aventure le code se trouve réellement en téléchargement sur tout bon Astalavista Moldo Valaque, le CFO de « Corp » va devoir répondre instamment à certaines demandes –oh combien justifiées- des participants au programme « shared source ».
Et chez Microsoft ? La machine à « communication de crise » vient d’enclencher sa première vitesse. « Nous vaincrons car nos avocats sont les plus forts » dit en substance le communiqué interne (reproduit intégralement ci-après). Déclarer que ce vol de code source est illégal est un truisme effarant. Cette fausse candeur, cette assurance clamant la disparition de « portions incomplètes » du code (seulement 13 millions de lignes… une paille !) ne peut masquer un malaise certain.
Windows 2000
|
On Thursday 12 February 2004 Microsoft became aware that incomplete portions of the Windows 2000 source code were illegally made available on the Internet. Because of the high press interest in this story, we are using this alert to make you aware of talking points around this issue. These talking points will be posted in the field bulletin at http://infoweb/security. Any updates to these talking points will be posted in an updated field bulletin at http://infoweb/security. In addition, a public statement will be posted to the Microsoft Press Pass site.
On Thursday Microsoft became aware that incomplete portions of the Windows 2000 source code were illegally made available on the Internet. It’s illegal for 3rd parties to post Microsoft source code and we obviously take such activity very seriously. Microsoft will accordingly take all appropriate legal actions.
We are currently investigating the illegitimate posting and are working with the appropriate law enforcement authorities. At this time we have no indication that this is a result of any breach of Microsoft’s corporate network or internal security.
There is no known impact on customers. We will continue to monitor and keep customers informed should the situation change. It’s important to note that Microsoft has made Windows source code broadly available via its Shared Source Program to universities, governments, developers, partners, etc for the past 3 years.
|
|