Le Renard est dans le poulailler de Microsoft
Et il salive d’envie
Par
Rédacteur en chef.
Publié le 20 décembre 2004, dernière mise à jour le 20 décembre 2004.
FIREFOX est l’exemple classique d’un succès immédiat, après des années de préparation.
Publié par la fondation Mozilla, un groupe à but non-lucratif soutenant les logiciels open-source qui s’appuie sur les compétences de centaines de programmeurs volontaires, Firefox est un navigateur internet, rapide et qui dispose de fonctions qui manque à Internet Explorer de Microsoft. L’installation de Firefox est très rapide, facile et il est gratuit.
Firefox 1.0 a été publié le 9 novembre. Un mois jour pour jour après, la fondation célébrait une étape remarquable : 10 millions de téléchargement. Des dons de fans enthousiastes ont permis d’acheter deux pleines pages de publicité dans The New York Times de jeudi.
Jusqu’à maintenant, le système d’exploitation Linux était le plus connu des centaines de projets open-source qui tentent de concurencer Microsoft avec des logiciels gratuits et techniquement meilleurs qui s’améliorent au fur et à mesure de l’augmentation du nombre d’utilisateurs qui rapportent et corrigent les bugs. Mais, à moins que vous n’achetiez des logiciels pour un centre de données d’entreprise, vous n’avez probablement jamais senti le besoin d’essayer Linux vous-même.
Avec Firefox, le logiciel open-source sort de l’obscurité de l’arrière-cuisine pour entrer chez vous, et chez vos parents aussi (vos enfants l’utilisent parfois déjà à l’école). Il est fignolé, aussi simple d’utilisation qu’Internet Explorer et, le plus intéressant, bien mieux protégé contre les virus, les vers et autres menaces circulant sur le réseau mondial.
Microsoft a toujours vu l’intégration forte de Internet Explorer avec Windows comme une fonction attractive. Cela, cependant, était avant que la sécurité devienne un besoin immédiat et inassouvi. Firefox se tient, très léger, au-dessus de Windows, avec une séparation du système d’exploitation que le président de la fondation Mozilla, Mitchell Baker, appelle une "défense naturelle."
Pour la première fois, Internet Explorer perd des parts de marché. Selon un sondage mondial menée fin novembre par OneStat.com, une société basée à Amsterdam qui analyse le Web, la part de marché d’Internet Explorer est tombée à moins de 89%, 5 points de moins qu’en mai. Firefox représente maintenant 5% du marché et sa part continue d’augmenter.
Gary Schare, directeur de la gestion des produits Windows chez Microsoft, a reçu la tâche peu enviable d’expliquer comment Microsoft prévoit de répondre à Firefox avec un produit dont les fonctions n’ont pas été mises à jour depuis 3 ans. Il indique que les utilisateurs actuels de Internet Explorer continueront à l’utiliser une fois qu’ils auront pris en compte "tous les facteurs qui les ont fait choisir I.E. au départ." Je vous demande pardon ? Choisir ? Est-ce que I.E. n’est pas fourni intégré à Windows ?
M. Schare a déclaré que Firefox de Mozilla doit prouver qu’il peut passer en douceur de la version 1.0 à 2.0, s’est dès lors rejoui "d’un peu de navigation libre [1]." Si j’étais le porte-paroles d’une société de logiciels dont le navigateur gratuit est implanté sur tous les PC avec Windows, je ferais un peu plus attention avant d’utiliser le terme "free ride" [2].
Essayant de se montrer conciliant, M. Schare a aussi déclaré que lui et sa compagnie étaient heureux que Firefox fasse "partie du grand écosystème" des logiciels qui fonctionnent sous Windows. En fait, Firefox est oeucuméniquement neutre, puisqu’il est aussi disponible pour Mac et pour Linux.
M. Schare est peut-être le porte-paroles officiel, mais il n’utilise pas Internet Explorer lui-même. A la place, il utilise Maxthon, réalisé par une petite société du même nom. Il utilise le moteur d’Internet Explorer mais fournit beaucoup de fonctions qu’Internet Explorer n’a pas. "Je me suis décidé à cause des onglets," m’a-t-il dit, faisant référence à la possibilité d’ouvrir dans une seule fenêtre plusieurs sites Internet et de passer facilement de l’un à l’autre, plutôt que d’ouvrir une fenêtre différente pour chaque site et occuper la mémoire de l’ordinateur. Firefox utilise les anglets. D’autres navigateurs aussi. Mais des décisions fondamentales dans la conception d’Internet Explorer empêchent d’ajouter ce souhait des internautes, et d’autres encore, sans une mise à jour majeure de Windows, qui ne sera pas terminée avant 2006 au plus tôt.
Microsoft se trouve dans la situation fâcheuse de devoir se remettre en cause. A la fin 1995, à une époque lointaine où Netscape Navigator était associé avec le Web et Internet Explorer devait encore convaincre, Microsoft a pris la décision risquée mais stratégiquement très intelligente de redessiner entièrement la conception d’Internet Explorer - ré-architecturer, dans le jargon de l’industrie. Comme Michael A. Cusumano du M.I.T. [3] et David B. Yoffie d’Harvard l’ont raconté dans leur livre de 1998, "Competing on Internet Time : Lessons From Netscape and Its Battle With Microsoft," la décision a impliqué de retarder la sortie d’Internet Explorer 3.0, mais le produit final était technologiquement supérieur au navigateur de Netscape. Dans Browser Wars I (la Guerre des Navigateurs I), le meilleur navigateur a gagné.
Aujourd’hui, c’est Internet Explorer qui a besoin d’être entièrement repensé du début à la fin, décision longtemps retardée d’étudier une nouvelle conception où la sécurité serait intégrée au plus profond du code. Firefox est le challenger grâce à un code entièrement nouveau et nettoyé. Netscape a donné son logiciel à la fondation Mozilla, qui a utilisée une approche open-source pour entreprendre une réécriture complète qui a pris 3 ans. Firefox est conçu à partir de la base de Mozilla.
Tout ce que Microsoft peut offrir aux utilisateurs d’Internet Explorer, ce sont des améliorations incrémentales de la sécurité, de nouveaux patches pour corriger des failles de sécurité ouvertes dans les anciens patches. Dans Windows XP Service Pack 2, dont la société prétend qu’il s’agit d’une avancée majeure en matière de sécurité, un avertissement affiché si l’utilisateur tente de télécharger une petite application appelée “contrôle ActiveX”, l’informe que celui-ci peut prendre le contrôle de son PC et, dans le pire des cas, effacer son disque dur. "Les utilisateurs doivent encore prendre des décisions éclairées," explique M. Schare. Avec Firefox, les utilisateurs n’ont pas à prendre de décisions éclairées à propos de ces petits programmes : ils sont bloqués par conception.
Bruce Schneier, le responsable technique chez Counterpane Internet Security Inc. et une autorité sur les questions de sécurité, ne cache pas sa colère contre Microsoft lorsqu’il prétend avoir amélioré la sécurité d’Internet Explorer. "Quand ma mère obtient un avertissement ’Voulez-vous télécharger ceci ?’ elle répond toujours OUI" dit-il. "C’est trompeur de la part de Microsoft de vous donner tous les moyens de vous pendre, et lorsque vous le faites, ils vous disent que c’est de votre faute." Il conseille à ses clients (et à sa mère) : "N’utilisez pas Microsoft Internet Explorer, point final." Il a utilisé le navigateur Opera, mais, après avoir essayé Firefox, il indique à son propos qu’il est "une bonne alternative."
Ce mois-ci, les dirigeants de la Pennsylvania State University ont recommandé à leurs étudiants et au personnel d’arrêter d’utiliser Internet Explorer à cause des problèmes persistants de sécurité. Le communiqué précisait que "les menaces sont réelles, et des alternatives existent."
Coincé avec un code datant d’une époque révolue où le besoin de protection contre les méchants était peu considéré, Microsoft ne peut pas faire grand chose. Il n’offre pas une version indépendante d’Internet Explorer. A la place, le client loyal doit télécharger et installer la dernière version du Service Pack 2. Qui, soit dit en passant, nécessite Windows XP. Ceux qui ont une version précédente de Windows n’ont pas de chance s’ils souhaitaient conserver Internet Explorer.
M. Schare de Microsoft fait une suggestion à ceux qui ne peuvent utiliser les dernières du Service Pack 2 : acheter un nouvel ordinateur personnel. En suivant son raisonnement, les problèmes de sécurité causés par la porte endommagée d’une voiture ne pourrait être corrigé que par l’achat d’une nouvelle voiture complète. L’analogie vient directement de M. Schare. "C’est comme acheter une voiture," dit-il. "Si vous voulez avoir les dernières fonctions de sécurité, vous devez acheter le dernier modèle."
Dans ce cas, le tout dernier modèle n’est pas un Internet Explorer de 2001, mais un Firefox de 2004.
Randall Stross est un historien et un écrivain habitant la Silicon Valley.
La traduction correcte de Firefox n’est pas “Renard de feu” ! En effet, en anglais, le firefox est une espèce de panda rouge. Voir l’article en anglais, en français.
Notes :
[1] a bit of a free ride
[2] Double-sens en anglais de free qui signifie à la fois "libre" et "gratuite"
[3] Massachusetts Institute of Technology
Référence :
The New York Times (enregistrement nécessaire)
16
Messages de forum
-
Moi je veux bien que l’on supprime ces contrôles. Mais si cela doit se généraliser je vais avoir de gros problèmes pour travailler.
Ma méthode de travail est la suivante, comme je me déplace beaucoup dans le monde, en fait j’ai mis mon PC principal en "Bureau à distance", avec une adresse fixe en utilisant les services d’un serveur de DNS dynamique bien qu’une nouvelle adresse IP me soit attribuée par mon FAI à chaque reconnexion.
J’utilise donc dans le monde n’importe quel PC, avec IE je me rends sur mon PC, là mon PC principal envoie automatiquement un controle ActiveX que j’accepte et ensuite je suis directement sur le bureau de mon PC principal.
Je peux travailler, recevoir chez moi des courriers, traiter les images, les passer à l’OCR, faire des traductions automatiques et les renvoyer à d’autres correspondants, en fait continuer l’intégralité de mon travail, avoir accès à l’intégralité de mon DD exactement comme si j’étais assis physiquement à mon bureau.
De plus lorsque je suis éloigné de mon bureau principal, lorsque je tape des courriers confidentiels, même si le PC sur lequel je suis temporairement est équipé à mon insu d’un keylogger pour récupérer des doubles de tout ce qui est frappé sur le clavier et bien la frappe sur le clavier n’apparait pas, car en fait le système est structuré de telle façon que je suis sensé utiliser mon clavier à distance et non pas le clavier sur lequel je travaille ; le keylogger est piégé surtout si j’ai voulu consulter mon compte en banque je suis plus tranquille.
D’ailleurs ce clavier à distance à d’autres avantages : lorsque par exemple je suis en Russie avec un clavier cyrillique et bien dès que j’ai accès à mon PC principal, j’ai sous la main un PC avec les touches de mon clavier en Français AZERTY.
Quelqu’un examinant un de mes messages pour en connaître l’origine verra que le message vient de mon bureau français alors que je suis physiquement en Indonésie et que je travaille sur une machine locale, discrétion d’abord.
Donc j’aimerais bien savoir des utilisateurs de Firefox comment ce problème de controle ActiveX et de bureau à distance a été réglé puisque Firefox semble avoir tout intégré ?
Merci.
-
La raison de la suppression des contrôles ActiveX est tout à fait illustrée par votre méthode de travail : n’importe qui utilisant l’une de leurs nombreuses failles de sécurité peut tout à fait prendre “votre ordinateur en otage†et se faire passer pour vous.
Il leur sera même possible de commettre des crimes ou des délits en l’utilisant ou d’y héberger des documents pornographiques ou pédophiles (c’est déjà arrivé).
Et pour tout le monde, comme vous l’avez si bien dit, cela viendra de votre ordinateur !
-
Moi je veux bien changer de méthode de travail, mais laquelle proposez vous ?
Pour ne pas avoir à se trimballer à l’étranger un laptop avec un gros disque dur qui peut être copié en quelques minutes dans une chambre d’hôtel ? Ah les vertus des systèmes "dauphin" pour la transmission de ce genre de choses illico-presto..
Lorsque l’on met en place un système de bureau à distance comme le mien, on met en place tout le système, c’est à dire que l’on a les moyens de vérifier qui s’est servi de son PC, on a les moyens de mettre en place des systèmes de surveillance et de cryptage un peu sérieux et sutrout on s’applique des procédures strictes.
J’ai un autre PC qui tourne constamment dans ma maison de campagne, j’en profite pour faire une duplication en temps réel de mon DD contre le vol et l’incendie à domicile (il y a 200km entre les deux PC fixes), de plus ce PC commande un système domotique par courant porteur avec lequel je contrôle la maison, la chaudière, les volets roulants, les stores, la pompe et les électro-vannes d’arrosage sur lesquelles j’interviens après avoir jeté un oeil sur les webcams et apprécié l’état du gazon...
Si l’on supprime la possibilité du bureau à distance comment est-ce que je peux continuer à utiliser ces fonctionnalités ? Ah se prendre un petit coup de vue sur son jardin alors que l’on est à l’autre bout du monde, ou tout simplement à son bureau parisien !!
Je ne crois pas que ce soit un progrès que de vouloir limiter la liberté d’utilisation, lorsque quelqu’un veut me faire plaisir sans que je ne demande rien je trouve que cela a un petit côté "apprenti-dictateur" (Cf La critique de la raison pratique d’Emmanuel Kant). Lorsque l’on est libre on est responsable et l’on prend ses propres risques..
Mais je suis preneur de solutions alternatives, pas de problème, je suis plutôt pour le progrès si cela constitue un réel progrès.
-
Je voudrais revenir un peu sur "n’importe qui"...
Avec quelques amis nous nous sommes posés la question de savoir comment prendre en commande un ordinateur en profitant des nombreuses failles.
Alors nous avons arpenté la Toile et nous avons trouvé pas mal de choses, des conseils, et nous nous sommes essayés à vouloir rentrer les uns chez les autres.
Le plus facile c’est d’envoyé un Trojan, ça pour l’envoyer c’est facile, même s’il est associé à un message sympatique aguichant d’une personne connue.. Les fichiers en extension .exe, .pif, .dat, .scr, et autres se font bloquer automatiquement par des antivirus mis à jour. Donc de ce côté c’est difficile, il faut trouver le Trojan inconnu des fournisseurs d’antivirus, et en général ils les bloquent dans les trois jours au plus suivant leur apparition, et puis il y a des méthodes heuristiques, c’est extrêmement difficile de trouver un "nouveau" trojan.
Mais on ne s’est pas lassé pour si peu, et on a continué avec des méthodes "plus lourdes".
J’identifie une adresse IP dans laquelle je veux rentrer, et là facile j’envoie un scanner scruter les ports ouverts qui permettent l’attaque. Si c’est un "grand communiquant" il a une dizaine de ports ouverts, le port 80 de l’HTTP étant le plus attirant bien évidemment, mais si le gars n’a pas installé de bureau à distance, difficile d’en prendre le contrôle et de lui implanter un quelque chose qui permette de le prendre en commande.
Alors on va "sniffer" les ports pour voir les activités, et essayer de détecter les passwords. mais là ce n’est pas facile, car les utilisateurs ne passent pas leur temps à envoyer des passwords, les PC sont tout de même assez souvent inactifs, ou alors il faut y passer des heures et des heures.. Jusqu’au moment où l’on s’aperçoit que le FAI a déconnecté le PC et réattribué une nouvelle IP, l’IP ancienne étant attribuée à un autre PC.. La galère.
Alors vous pensez pouvoir passer en utilisant "la force brutale" c’est à dire en testant automatiquement toutes les combinaisons possibles de mots de passe à 8 caractères.. Et là vous en avec pour deux mois si vous n’avez pas une machine dédiée aux caractéritiques améliorées, d’autant que toutes les 24 heures le FAI coupe et ré-attribue une adresse qu’il faut chercher à nouveau..
Donc à notre conclusion, ce n’est pas n’importe qui qui peut entrer sur un PC, ce ne peuvent être que des "pros" qui vous auront pris pour "target". Et quand les pro s’y mettent il n’y a pas grand chose à faire, c’est comme de perdre des yeux son laptop pendant une heure dans un restaurant ; d’utiliser un routeur WiFi, ou de penser que son oreillette bluetooth de cellulaire est bien codée..
A moins, bien sûr que les antivirus, firewall, ne soient pas mis à jour, alors là c’est effectivement n’importe qui qui peut aller n’importe où dans le PC s’en servir comme stockage de documents et faire toutes les bêtises et forfaits possibles... Il y a aussi des gens qui grillent des stops en voiture régulièrement et dont la famille s’étonne un jour qu’ils se soient fait couper en deux par un semi de 40 tonnes..
Donc les utilisateurs de PC qui ne prennent pas l’affaire de la sécurité sérieusement n’ont qu’Ã aller ruminer leur foin tranquillement, mais il ne faut pas qu’ils s’étonnent..
D’autre part, remplacer IE par Firefox, ça ne touche que le port 80 du HTTP et le port 443 du HTTPS. Mais il y a un certain nombre d’autres ports sensibles, notamment le 21 du serveur FTP, le 1027 de l’ICQ et bien d’autres.
Donc comment fait Firefox pour assurer une sécurité sur le port 21 du FTP par exemple qui est tout de même un des plus accessibles en "force brute" ?
Cordialement.
-
Je ne suis pas un spécialiste en sécurité informatique, je ne suis que le traducteur des articles. Je pense donc que vous trouverez des réponses plus pointues, plus argumentées dans un forum spécialisé ou dans un newsgroup.
Toutefois, je pense que vous condondez plusieurs choses : un navigateur internet n’assure pas la sécurité de votre PC. Ce n’est pas parce que vous utilisez Firefox ou Internet Explorer que quelqu’un pourra pirater votre PC : Windows lui-même suffit largement pour cela (voir Windows XP SP1 : 18 minutes pour être infecté).
En revanche, là où Firefox vous permet d’être mieux protégé qu’avec Internet Explorer, c’est effectivement qu’il n’utilise pas la technologie ActiveX. Elle est connue pour être la porte d’entrée de nombreux hackeurs parce qu’elle n’est pas sécurisée.
Il existe de multiples sources de piratages. Pour un navigateur, il y a principalement 2 moyens :
lorsque vous visitez un site dont le code des pages est modifié pour utiliser une faille de sécurité (par exemple celle d’un ActiveX dont vous disposez déjà , mais il y a eu aussi des failles au niveau du décodage des images JPEG),
lorsqu’il vous propose de charger un contrôle (il est possible de court-circuiter le système pour qu’il ne vous demande pas votre avis : faille d’IE).
Firefox vous protège dans les 2 cas : il n’utilise pas la technologie ActiveX, n’utilise pas le même moteur d’affichage. Certes, il a souffert de certaines failles mais elles ont été corrigées très rapidement (moins d’une semaine). Certaines failles critiques d’IE ne sont toujours corrigées plus d’un an après leur découverte !
-
Merci pour ces précisions.
Cordialement
-
Bonjour !
Je suis IT Manager dans une entreprise de maintenance informatique et parallèlement consultant international Internet.
Comme certains de nos logiciels ne tournent que sous Windows, nous ne pouvons pas encore passer à 100% sous Linux, mais on y travaille. Firefox/Thunderbird ont déjà remplacé Internet Explorer/Outlook sur plus de la moitié des postes, et le département IT est sur Mac.
Pour revenir à la question de bureau à distance, nous utilisons cette fonctionnalité en permanence, avec des terminal servers et "Connexion Bureau à Distance", pour nos sites distants. Ca permet de minimiser la bande passante nécessaire au travail sur bases de données. En revanche, pour sécuriser la chose nous passons par des tunnels VPN statiques. En mode plein écran les utilisateurs des villes distantes ont l’impression de travailler en local, mais en fait leur écran est rapporté via le VPN depuis une machine au central.
Quand nous sommes en voyage et devons faire un dépannage depuis le premier poste venu, ou pour le portable du patron, nous crééons un tunnel SSH (intégré dans MacOS X et linux, à partir du freeware PUTTY pour les Windows) entre la machine sur laquelle nous sommes et un serveur linux dans notre DMZ. Ce serveur particulier est autorisé au firewall à accéder au port 3389 d’un PC particulier en interne.
Cela fonctionne donc comme suit :
1/ Télécharger et décompresser le freeware PutTTY (suggestion : l’avoir sur une clé USB)
2/ l’utiliser pour se connecter sur le serveur linux et ouvrir un tunnel entre un port local (typiquement 10000) et le port 3389 du PC windows interne
3/ Lancer la connexion bureau à distance et se connecter sur la machine locale (127.0.0.1) port 10000.
Le tunnel crypté fait son office et nous nous retrouvons en train d’ouvrir la session sur la machine distante, bien au chaud derrière son firewall.
Ca marche pour tous types de connexion et permet aussi de passer les proxys. Il m’est arrivé ainsi de faire des séances KDX depuis des PC d’aéroport en théorie blindés. Et pas d’ActiveX chez nous !
Franck Horlaville
Consultant Internet
fh[at]online[point]co[point]ma
-
Pourquoi faire simple quand on peut faire compliqué ? Le client bureau à distance (sans activex) utilise le port 3389 à partir de windows, linux et osx et c’est crypté.
les postes xp, 2003, 2000 serveur intègrent le serveur terminal à distance.
Pour les autres Windows vous pouvez utiliser netmeeting à travers un de ces postes, et putty, vnc etc ..
-
Il y a aussi une solution que j’emploie régulièrement et qui marche avec Firefox :
www.logmein.com.
Il ya une version gratuite.
De plus cela fonctionne à travers un routeur+firewall+adresse IP dynamique sans devoir passer par des configurations qui ne sont pas forcément à la portée de chacun.
Voir en ligne : LogMeIn
-
Bonjour, je vous conseille UltraVNC, bureau a distance via un applet JAVA ou avec un petit client.exe.
De plus un plugin de cryptage est disponible.
Ultravnc contrairement aux autres clones vnc est entierement gratuit et open-source.
Cordialement, quelqu’un.
Voir en ligne : http://ultravnc.sourceforge.net/
-
-
Well, le site anglais de Wikipedia donne deux acceptions à Firefox, dont l’un est un renard et l’autre un panda (voir "autres langues" dans le lien ci-avant.)
-
P.S. bravo les gars, l’article de tête ’firefox poulaillier de Microfaust’ date d’il y a deux ans et il sort dans google news France sci-tech (aujourd’hui) parce qu’un gars a remis un commentaire !
-
Vu, les complexités du monde informatique, il serait plus que souhaitable de confier la sécu aux FAI ou une organisation internationale indépendante. Personne et encore moins ma grand-mère ne peut faire face à ces problèmes. Trp facile de prendre les utilisateurs comme responsable alors que se sont eux les victimes.
Philgri.
-
Pas mal de faute dans cette article, oualors c’est mal traduit ? comment seulement maintenant IE perd des part de marché ? ca veut dire que personne utilisait firefox ?
Firefox n’est pas programmé par des volontaires, mais par des salariés.
Un produit gratuit est pas forcement mieux que ceux de microsoft. On peut faire un truc gratuit qui soit pourri.
...
-
Vous dites qu’il y a beaucoup moins de risque que des virus s’installent (sans compter les attaques)
Je ne suis pas d’accords avec vous, récement plusieurs failles ont été découvertes sur Firefox, et pas des petites !!
L’open source est une chose très bien, mais pour une utilisation en entreprise ........ (Ã l’exception de Linux)
Laisser le code source d’une appllication ouvert facilite la tâche des Hackers !!
Je conseille à tous les partuciliers de ne pas tomber dans le piège du logiciel gratuit, on le voit fréquement avec les Freewares sur le Web ; ceux-ci sont gratuit mais contiennent généralement des failles ou des Troyens !!!
Abonnez-vous à ce podcast avec iTunes
