Accueil / Entreprise / Propriété Industrielle / Une faille corrigée dans Windows, problème pour Drupal et Yosemite

Une faille corrigée dans Windows, problème pour Drupal et Yosemite

Par
4 Mins Read
14 novembre 2014

Depuis 19 ans, une faille présente dans Windows n’avait jamais été corrigée. Voilà qui est dorénavant de l’histoire ancienne.

Imaginez, un bug informatique connu et présent dans Windows depuis 19 ans. Depuis Windows 95, cette « faille » permettait dans certaines mesures difficiles (mais pas impossibles, ndlr zataz.com) de prendre la main sur un ordinateur. Une attaque possible à distance. Baptisée par les ingénieurs sécurité de chez IBM, inventeurs de la faille, WinShock, l’exploit permettait d’infiltrer un ordinateur sous Windows (95, 98, 2003, 2008, Vista, 7, 8) à distance. Il suffisait de mettre en place un site Internet particulièrement fabriqué (XSS, …) pour déclencher l’attaque via Internet Explorer. Microsoft a corrigé la faille… sauf pour Windows XP dont le support n’existe plus. « Les utilisateurs qui ont paramétré leur Windows de telle manière à recevoir automatiquement les mises à jour, ne doivent rien faire de particulier. Ils seront protégés » explique le service presse de Microsoft.

Pour novembre, Microsoft a publié un Patch Tuesday conséquent, avec 17 bulletins dont 5 concernent l’exécution de codes à distance (RCE), un type de vulnérabilité dont les pirates sont particulièrement friands. À ce jour, avec ces 17 bulletins, Microsoft en aura diffusé 79 en tout pour 2014. Nous finirons donc l’année sous la barre des 100 bulletins de sécurité, soit un peu moins qu’en 2013 et 2011 et à peu près autant qu’en 2012.

Pendant ce temps…
Une grave et importante faille a été découverte dans Drupal. La communauté Drupal, et son logiciel Open Source gratuit pour créer et administrer des sites Web, annonçait l’existence d’une vulnérabilité dans la couche d’API d’abstraction de base de données de Drupal 7. Cette vulnérabilité (CVE associé : CVE-2014-3704) permet à un pirate d’envoyer des requêtes personnalisées qui rendent arbitraire l’exécution de SQL. Selon le contenu des requêtes, ceci peut entraîner une élévation des privilèges, une exécution arbitraire de PHP ou d’autres attaques. Ce que nous savons La vulnérabilité affecte toutes les principales versions 7.x de Drupal antérieures à la 7.32. Survenue au moment de l’annonce de POODLE, cette vulnérabilité a été un peu occultée, même si elle est directement exploitable et similaire à Heartbleed.

Depuis le 15 octobre 2014, les exploits automatisés ciblant cette vulnérabilité spécifique ont semé le chaos sur Internet. L’équipe chargée de la sécurité Drupal conseille aux administrateurs de sites Web fonctionnant sous Drupal 7.x de considérer comme compromis les sites qui n’ont pas été mis à jour ou patchés avant le 15 octobre 2014, ou bien 7 heures après la première annonce de la vulnérabilité. Corriger ou mettre à niveau un site Web compromis ne suffira pas pour supprimer les portes dérobées et autres chevaux de Troie qui auraient pu être installés.

La société Qualys propose une vérification de cette vulnérabilité via son logiciel Qualys Freescan, accessible depuis son site Internet dédié.

Du côté d’Apple, une faille a été détectée dans la dernière version de l’OS de la grosse pomme, Mac OS X Yosemite. Le problème a été révélée par la société suédoise Truesec. Baptisée ‘RootPipe’, la faille pourrait permettre à un pirate, en local, de prendre la main sur l’ordinateur en mode administrateur. Un mode qui permet de faire tout et n’importe quoi dans la machine. Emil Kvarnhammar, l’inventeur de la probable faille n’a pas donné plus d’information. Il attend qu’Apple corrige. Un mot de passe sudo, il permet d’avoir des privilèges temporaires de super utilisateur, est demandé afin q’un administrateur puisse agir sur une machine sans pour autant être le Kalif à la place du Kalif. La faille RootPipe contournerait cette restriction sous  Mac OS X Yosemite, mais aussi sous Mountain Lion et Mavericks.

Étiquetté :
Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Articles similiares

La stratégie cyber de Trump muscle l’offensive américaine
11 mars 2026
Incident de sécurité chez Wikimedia via un ver JavaScript
11 mars 2026
TriZetto : 3,4 millions de patients touchés
11 mars 2026
Ancien pilote américain accusé d’avoir formé l’armée chinoise
11 mars 2026
Prince Group : 62 inculpations dans une vaste fraude en ligne
11 mars 2026
Phobos : le développeur clé plaide coupable aux États-Unis
11 mars 2026
Cyberfraude : Washington prépare un fonds pour les victimes
11 mars 2026
Nouveau malware Android vole les codes SMS bancaires
11 mars 2026
Le Parlement européen coupe l’IA des tablettes des élus
6 mars 2026

Nos partenaires

Actualités du mois

mars 2026
L M M J V S D
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Articles en UNE

Actus zataz

Réseaux sociaux

Facebook21,615FansJ'aimeX (Twitter)25,823AbonnésSuivreInstagram17,539AbonnésSuivrePinterest15,260AbonnésEpinglerYoutube8,922AbonnésS'abonnerTiktok4,205AbonnésSuivreTelegram1,203MembresRejoindreSoundcloud15,259AbonnésSuivreVimeo25,096AbonnésSuivreDribbble15,260AbonnésSuivre

Liste des sujets

<!-- Cyber'Émission ZATAZ — badge volant (déplaçable) + réduire/fermer -->
<div class="zataz-yt-float" id="zatazYtFloat" role="region" aria-label="Cyber'Émission ZATAZ">
  <div class="zataz-yt-float__bar" id="zatazYtBar">
    <span class="zataz-yt-float__title">Cyber'Émission ZATAZ</span>

    <div class="zataz-yt-float__actions">
      <button type="button" class="zataz-yt-float__btn" id="zatazYtMin" aria-label="Réduire">—</button>
      <button type="button" class="zataz-yt-float__btn zataz-yt-float__btn--close" id="zatazYtClose" aria-label="Fermer">×</button>
    </div>
  </div>

  <a class="zataz-yt-badge" href="https://www.youtube.com/@ZATAZCOM" target="_blank" rel="noopener noreferrer"
     aria-label="Regarder Cyber'Émission ZATAZ sur YouTube (nouvel onglet)">
    <span class="zataz-yt-badge__thumb" aria-hidden="true">
      <span class="zataz-yt-badge__play" aria-hidden="true"></span>
    </span>
  </a>
</div>

<style>
  .zataz-yt-float{
    position:fixed;
    right:18px;
    bottom:18px;
    z-index:99999;
    width:320px;
    max-width:calc(100vw - 36px);
    border-radius:14px;
    overflow:hidden;
    background:linear-gradient(135deg,#111827,#0b1220 55%,#111827);
    border:1px solid rgba(255,255,255,.12);
    box-shadow:0 14px 40px rgba(0,0,0,.35);
    transform:translateZ(0);
    user-select:none;
    touch-action:none; /* drag mobile */
  }

  /* Barre de drag + boutons */
  .zataz-yt-float__bar{
    display:flex;
    align-items:center;
    justify-content:space-between;
    gap:10px;
    padding:10px 10px 10px 12px;
    font-family:system-ui,-apple-system,Segoe UI,Roboto,Arial,sans-serif;
    color:#fff;
    background:rgba(0,0,0,.18);
    border-bottom:1px solid rgba(255,255,255,.10);
    cursor:grab;
  }
  .zataz-yt-float__bar:active{ cursor:grabbing; }
  .zataz-yt-float__title{
    font-weight:800;
    letter-spacing:.2px;
    font-size:15px;
    line-height:1;
    white-space:nowrap;
    overflow:hidden;
    text-overflow:ellipsis;
  }
  .zataz-yt-float__actions{ display:flex; gap:8px; }
  .zataz-yt-float__btn{
    appearance:none;
    border:1px solid rgba(255,255,255,.18);
    background:rgba(0,0,0,.28);
    color:#fff;
    width:32px;
    height:28px;
    border-radius:10px;
    font-weight:900;
    line-height:1;
    cursor:pointer;
    display:grid;
    place-items:center;
  }
  .zataz-yt-float__btn:hover{ background:rgba(255,255,255,.08); border-color:rgba(255,255,255,.28); }
  .zataz-yt-float__btn--close:hover{ background:rgba(239,68,68,.22); border-color:rgba(239,68,68,.45); }

  /* Contenu (votre vignette) */
  .zataz-yt-badge{
    display:block;
    text-decoration:none;
    color:#fff;
  }
  .zataz-yt-badge__thumb{
    display:block;
    height:180px;
    background:#0f172a url("https://i.ytimg.com/vi/HUo8dnD6Swk/hqdefault.jpg") center/cover no-repeat;
    position:relative;
  }
  .zataz-yt-badge__play{
    position:absolute;
    left:50%;
    top:50%;
    width:54px;
    height:54px;
    margin:-27px 0 0 -27px;
    border-radius:999px;
    background:rgba(0,0,0,.55);
    border:1px solid rgba(255,255,255,.25);
    box-shadow:0 10px 22px rgba(0,0,0,.35);
  }
  .zataz-yt-badge__play:before{
    content:"";
    position:absolute;
    left:22px;
    top:16px;
    width:0;height:0;
    border-top:11px solid transparent;
    border-bottom:11px solid transparent;
    border-left:16px solid #fff;
  }

  .zataz-yt-float:hover{
    box-shadow:0 18px 55px rgba(0,0,0,.45);
    border-color:rgba(255,255,255,.18);
  }
  .zataz-yt-badge:active{ transform:scale(.99); }

  /* Etat réduit */
  .zataz-yt-float.is-min .zataz-yt-badge{ display:none; }
  .zataz-yt-float.is-min{ width:260px; }

  /* Mobile : plus compact */
  @media (max-width:480px){
    .zataz-yt-float{ width:280px; right:12px; bottom:12px; }
    .zataz-yt-badge__thumb{ height:158px; }
    .zataz-yt-float.is-min{ width:220px; }
  }
</style>

<script>
(() => {
  const box = document.getElementById('zatazYtFloat');
  const bar = document.getElementById('zatazYtBar');
  const btnMin = document.getElementById('zatazYtMin');
  const btnClose = document.getElementById('zatazYtClose');

  if (!box || !bar || !btnMin || !btnClose) return;

  // Réduire / restaurer
  btnMin.addEventListener('click', (e) => {
    e.stopPropagation();
    box.classList.toggle('is-min');
    btnMin.textContent = box.classList.contains('is-min') ? '▢' : '—';
    btnMin.setAttribute('aria-label', box.classList.contains('is-min') ? 'Restaurer' : 'Réduire');
  });

  // Fermer
  btnClose.addEventListener('click', (e) => {
    e.stopPropagation();
    box.remove();
  });

  // Drag (souris + tactile) via Pointer Events
  let dragging = false;
  let startX = 0, startY = 0;
  let startLeft = 0, startTop = 0;

  // Position initiale: on convertit right/bottom en left/top pour le drag
  const init = () => {
    const r = box.getBoundingClientRect();
    box.style.left = r.left + 'px';
    box.style.top  = r.top  + 'px';
    box.style.right = 'auto';
    box.style.bottom = 'auto';
  };
  init();

  const clamp = (v, min, max) => Math.min(Math.max(v, min), max);

  bar.addEventListener('pointerdown', (e) => {
    // pas de drag quand on clique sur les boutons
    if (e.target === btnMin || e.target === btnClose) return;

    dragging = true;
    bar.setPointerCapture(e.pointerId);

    const r = box.getBoundingClientRect();
    startX = e.clientX;
    startY = e.clientY;
    startLeft = r.left;
    startTop = r.top;

    e.preventDefault();
  });

  bar.addEventListener('pointermove', (e) => {
    if (!dragging) return;

    const dx = e.clientX - startX;
    const dy = e.clientY - startY;

    const r = box.getBoundingClientRect();
    const w = r.width;
    const h = r.height;

    const maxLeft = window.innerWidth - w - 8;
    const maxTop  = window.innerHeight - h - 8;

    box.style.left = clamp(startLeft + dx, 8, maxLeft) + 'px';
    box.style.top  = clamp(startTop + dy, 8, maxTop) + 'px';
  });

  const endDrag = () => { dragging = false; };
  bar.addEventListener('pointerup', endDrag);
  bar.addEventListener('pointercancel', endDrag);

  // Re-clamp au resize
  window.addEventListener('resize', () => {
    const r = box.getBoundingClientRect();
    const maxLeft = window.innerWidth - r.width - 8;
    const maxTop  = window.innerHeight - r.height - 8;
    box.style.left = clamp(r.left, 8, maxLeft) + 'px';
    box.style.top  = clamp(r.top, 8, maxTop) + 'px';
  });
})();
</script>