Journal Internet Explorer : 4 failles 0 day publiées

Posté par  . Licence CC By‑SA.
Étiquettes :
22
23
juil.
2015

Petit journal bookmark d'importance pour ceux travaillant dans des environnements avec des machines sous >indows et donc équipées d'Internet Explorer.

Après 120 jours sans correction de la part de Microsoft, le Zero Day Initiative publie 4 failles 0 day. Elle peuvent permettre l'exécution de code à distance avec les droits de l'utilisateur local.

Ils conseillent aussi de ne pas utiliser ce navigateur tant que les corrections ne sont pas disponibles.

Source :
http://www.zone-numerique.com/quatre-failles-zero-day-ne-seraient-toujours-pas-corrigees-au-sein-dinternet-explorer.html

  • # et une forte majorité de DSI imposent IE en entreprise

    Posté par  (site web personnel) . Évalué à 10.

    et font développer des outils spécifiquement pour IE, le seul navigateur qu'ils veulent voir…

    ウィズコロナ

    • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

      Posté par  (site web personnel) . Évalué à 4.

      Pourquoi ?

      Parce que IE c'est développé par Microsoft, une grosse entreprise côtée en bourse, c'est donc bien plus sûr qu'un logiciel de nerd développé dans une cave comme Firefox !

      • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

        Posté par  . Évalué à 8.

        Pourtant Chrome est développé par Google, qui est aussi côté en bourse.

        bépo powered

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 3.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

          Posté par  . Évalué à 10.

          Pour pouvoir faire la même chose avec Chrome/Firefox, il faut passer, à ma connaissance, par des outils tiers.

          Si tu parle des GPO, elles existent pour Chrome, Google fournit les ADM(X) https://support.google.com/chrome/a/answer/187202?hl=fr

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

          Posté par  (site web personnel) . Évalué à 6.

          J'imagine que tu parles des GPO ? cf.

          bizarre tout de même que ce ne soit pas mozilla qui le propose de base ;-)

          • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

            Posté par  (site web personnel) . Évalué à 5.

            Il existe également un add-on pour Mozilla Firefox nommé CCK2 qui permet de personnaliser et verrouiller une installation de Mozilla Firefox qui doit pouvoir faire un travail similaire.

            https://addons.mozilla.org/en-US/firefox/addon/cck2wizard/?src=kaply.com

          • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

            Posté par  . Évalué à 1.

            Oui enfin ça reste de la bidouille hein…
            Sans compter les gigas de mails que Thunderbird pousse dans le Roaming profil dans un répertoire nommé de façon aléatoire ou les bases SQLite qui atteignent plusieurs dizaines (voire centaines) de méga parce qu'apparemment elles sont jamais VACUUM.
            Je le déploie sur le domaine que je gère mais je comprend très bien ceux qui ne veulent pas se faire chier, utiliser du Mozilla sur plus de 10 postes ça demande un investissement

            • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

              Posté par  (site web personnel) . Évalué à 8.

              Oui enfin ça reste de la bidouille hein…

              moui, c'est du windows :D j'ai toujours l'impression que cela ressemble à des recettes de cuisine (et c'est à toi au final de faire la cuisine, bravo la délégation de Microsoft, on va dire que cela génère de l'emploi qualifié…). Au moins, sur un Linux il y a de vrais outils de gestion de déploiement et de mise à jour ;-)

            • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

              Posté par  (site web personnel) . Évalué à 7.

              Là ou je travaille, tout est géré par GPO sans les extensions en question et sans bidouille. Il faut juste lire la documentation.

              Quant au profil thunderbird, Outlook fait la même chose par défaut… Pour modifier le comportement, il faut rediriger %APPDATA% en local ou sur un disque réseau, premier truc que tu fais quand tu montes un domaine avec profils itinérants…

              • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                Posté par  (site web personnel) . Évalué à 9.

                Tu devrais écrire un journal sur comment gérer Firefox sur un gros parc pour se passer de IE.

                "La première sécurité est la liberté"

                • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                  Posté par  (site web personnel) . Évalué à 2.

                  Déjà, je sais que l'on peut faire des trucs encore plus poussés (que si dessous) mais pas comment :)

                  Genre dans mon nouveau taf, même l'accès au proxy est validé par une extension, si tu vires l'extension, plus de web… Seul Firefox a le droit de sortir…

                  Et ici dans une très grosse structure (15000 personnes), c'est Firefox obligatoire. PostgreSQL obligatoire pour les devs.

                  Y'a que Exchange qui pour l'instant reste, il faut dire que je ne suis pas sur qu'une solution libre lui arrive à la cheville… Zimbra?

              • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                Posté par  . Évalué à 1.

                Et tu dis adieu à tout un tas de soft métier qui n'aiment pas le APPDATA redirigé…

                Je veux bien un pointeur vers la doc en question…

                • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                  Posté par  (site web personnel) . Évalué à 2. Dernière modification le 24 juillet 2015 à 13:05.

                  Dans ce cas là, tu dis à Firefox de stocker son profil dans le répertoire de l'utilisateur.

                  Par exemple, sur mes postes Windows dans mon ancien taf, il pointait sur Z:\.mozilla\firefox

                  Comme ça, même profil depuis Windows et Linux.

                  Pour l'autoconf: https://wikit.firewall-services.com/doku.php/tuto/ipasserelle/mail/mozilla_mcd

                  C'est l'exemple avec l'artillerie lourde (LDAP + php) mais il est possible de faire beaucoup plus simple avec une gestion par groupe et/ou utilisateur.

                  • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                    Posté par  . Évalué à 1.

                    Oui OK, c'est du même niveau que le script d'ouverture de session qui déplace le profil, c'est ce que je fais hein mais ça reste du gros bidouillage. Surtout que je vois aucune justification plausible à appeler un profil ezoi5r7f357re.default contre profile1, profile2, profile3, etc. alors que ça éviterait déjà pas mal de problème (suffit d'exclure du roaming les répertoires avec des noms prédictibles)

                • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                  Posté par  (site web personnel) . Évalué à 7. Dernière modification le 25 juillet 2015 à 12:18.

                  Et tu dis adieu à tout un tas de soft métier qui n'aiment pas le APPDATA redirigé…

                  C’est très rare mais ce n’est pas un problème si tu rediriges tous les documents utilisateurs de manière à minimiser le Roaming, et si une application veut écrire dans %HOMEPATH%/Application Data au lieu de %APPDATA%, tu es sûr que l’application écrira tout de même sur le réseau vu que %HOMEPATH% est redirigé.

                  Je veux bien un pointeur vers la doc en question…

                  Je n’ai jamais touché de Windows Server, mais avec un Samba c’est ainsi que je fais…

                  La configuration suivante est testée validée de Windows XP Pro SP1 à Windows 7 Pro. Le Roaming est réduit au minimum, le bureau est en réseau lui aussi, Application Data aussi, il n’y a que Local Settings\Application Data qui n’est pas en réseau, parce que c’est justement ce qui est local à la machine, et le profile (fond d’écran etc.) qui est récupéré à l’ouverture de session et renvoyé au serveur à la fin. À part ces points particuliers, rien n’est pris en otage par le poste utilisateur, c’est fini de devoir attendre la fermeture de session pour sauvegarder le bureau et les données d’application, c’est fini les pertes de données si l’ordinateur s’éteint sans fermer la session ! La configuration suivante permet la cohabitation Windows XP et Windows Vista, Seven en utilisant la même arborescence en ligne.

                  Tous les documents utilisateurs sont dans le disque H:, propre à chaque utilisateur.

                  Ah bien, sûr, il faut désactiver la synchro sur les postes utilisateurs, le mieux est de le faire à l’installation de la machine.

                  Quelques extraits de /etc/samba/smb.conf (incomplet, le reste à ta charge) :

                  [global]
   workgroup = MONGROUPE
   netbios name = MONSERVEUR
   server string = "MADESCRIPTION"
   unix extensions = no
   domain logons = yes
   logon drive = H:
   logon home = \\%N\%U
   logon script = logon.cmd

[homes]
    comment = Dossier personnel de %U
    path = /home/%U/
    browseable = no
    wide links = Yes
    follow symlinks = Yes
    writable = yes
    read only = no
    create mask = 2770
    directory mask = 2770
    public = no
    hide files = /Desktop.ini/desktop.ini/*~/Thumbs.db/.*/$RECYCLE.BIN/
    veto files = /.profile/.profile.v2/*.desktop/

[netlogon]
    path = /etc/samba/netlogon
    guest ok = no
    writeable = yes
    browseable = no
    write list = ntadmin

# winxp
[profile]
    path = /home/%U/.local/share/windows/.profile
    browsable = no
    writeable = yes
    create mask = 0600
    directory mask = 0700
    profile acls = yes
    csc policy = disable
    hide files = /Desktop.ini/desktop.ini/*~/Thumbs.db/.*/

# win >= vista
[profile.v2]
    path = /home/%U/.local/share/windows/.profile.v2
    browseable = no
    writeable = yes
    create mask = 0600
    directory mask = 0700
    profile acls = yes
    csc policy = disable
    hide files = /Desktop.ini/desktop.ini/*~/Thumbs.db/.*/

                  Contenu de /etc/samba/netlogon/logon.cmd :

                  SET SERVER=MONSERVEUR

NET USE H: \\%SERVER%\homes
REGEDIT /S \\%SERVER%\netlogon\home.reg
NET TIME \\%SERVER% /SET /YES

                  Contenu de /etc/samba/netlogon/home.reg :

                  Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"My Pictures"="H:\\Mes documents\\Mes images"
"Desktop"="H:\\Bureau"
"Personal"="H:\\"
"My Music"="H:\\Musique"
;"My Video"="H:\\Vide'os"
"My Video"=hex(2):48,00,3a,00,5c,00,56,00,69,00,64,00,e9,00,6f,00,73,00,00,00\
;"My Downloads"="H:\\Te'le'chargements"
"{374DE290-123F-4565-9164-39C4925E467B}"=hex(2):48,00,3a,00,5c,00,54,00,e9,00,\
  6c,00,e9,00,63,00,68,00,61,00,72,00,67,00,65,00,6d,00,65,00,6e,00,74,00,73,\
  00,00,00
"{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="H:\\.AppData\\Roaming\\Microsoft\\Windows\\Libraries"
"AppData"="H:\\.AppData\\Roaming"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"My Pictures"="H:\\Mes documents\\Mes images"
"Desktop"="H:\\Bureau"
"Personal"="H:\\"
"My Music"="H:\\Musique"
;"My Video"="H:\\Vide'os"
"My Video"=hex(2):48,00,3a,00,5c,00,56,00,69,00,64,00,e9,00,6f,00,73,00,00,00\
;"My Downloads"="H:\\Te'le'chargements"
"{374DE290-123F-4565-9164-39C4925E467B}"=hex(2):48,00,3a,00,5c,00,54,00,e9,00,\
  6c,00,e9,00,63,00,68,00,61,00,72,00,67,00,65,00,6d,00,65,00,6e,00,74,00,73,\
  00,00,00
"{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="H:\\.AppData\\Roaming\\Microsoft\\Windows\\Libraries"
"AppData"="H:\\.AppData\\Roaming"

[HKEY_CURRENT_USER\Volatile Environment]
"APPDATA"="H:\\.AppData\\Roaming"

                  Choses bonnes à savoir :

                  • À part les exceptions précisées plus haut, tout fichier vu est un fichier en réseau. Par exemple ça veut dire que tu peux sauvegarder les données des gens même s’ils n’ont pas fermé leur session, tu as la dernière version de leurs fichiers. Ça veut dire aussi que par exemple tu peux créer des raccourcis sur le bureau des gens alors qu’ils sont déjà connectés, en les créant directement sur le serveur.
                  • Même si c’est fortement déconseillé, tu peux toujours ouvrir deux sessions en même temps et c’est bien plus fiable qu’avec du Roaming, car la dernière session fermée ne va pas écraser les données utilisateur des autres sessions ouvertes en même temps mais fermées avant.
                  • Tu ne peux pas ouvrir deux Firefox si tu ouvre deux sessions en même temps (vu que AppData est en réseau, le lock est partagé, mais en fait c’est tant mieux, c’est justement fait pour ça).
                  • Si tu as des profiles windows déjà créé, les nouvelles règles de registre seront chargées mais pas utilisées la première fois, il faut ouvrir la session (charger les règles), fermer la session (enregistrer les règles dans la ruche), ouvrir la session, et c’est bon, cette manip n’est à faire qu’une seule fois, après installation de la procédure présentée ici.
                  • Il y a probablement moyen de modifier les ruches à la mano directement sur le serveur, mais disons que je ne veux pas prendre le risque de foirer une sessions utilisateur, je laisse Windows écrire modifier lui-même ses ruches (d’où le fichier registre chargé à l’ouverture de session, c’est windows qui le fait, pas moi qui attaque sous linux des ruches windows avec des outils tiers.
                  • Si ton profil n’a jamais été créé, il sera bon dès la création (la première fois que tu te connectes sur une machine Windows avec un compte tout neuf), Windows va utiliser tes règles de registre dès la création.
                  • Tes utilisateurs ne doivent pas déplacer leur “Mes documents” (les variables sont prédéfinies et écrasées au login).
                  • Si le disque home est commun sous XP/Seven (mêmes modèles, même profile Firefox etc.) la ruche est propre à ces générations de NT, donc pas le même fond d’écran entre XP et Seven, mais le même entre Vista et Seven, c’est un problème acceptable, de toute façon les utilisateurs trouvent normal qu’un nouveau Windows remplace leur thème.
                  • Windows utilise désormais par défaut les noms de dossiers de Gnome, donc les dossiers sont communs entre Linux et Windows.
                  • Quand on ouvre le terminal Windows, il s’ouvre par défaut sur H:\ sous XP, ce comportement est cassé à partir de Vista, spamafote.
                  • Si le câble réseau saute et que Windows prend un timeout, le bureau se vide, il suffit de faire un clic droit sur le bureau et « actualiser » pour récupérer ses fichiers, pas besoin de réouvrir sa session, il suffit de rafraîchir le bureau comme on recharge une page web.
                  • Le Roaming profile avec les ruches etc. n’est pas accessible en réseau même s’il est situé sur le même disque réseau que le home utilisateur, donc l’utilisateur ne peut pas le supprimer par erreur ni le modifier, c’est Windows qui le renvoit à Samba, et c’est Samba qui l’écrit.

                  Note, j’ai modifié les fichiers à la main dans ce commentaire pour les rendre plus génériques, j’ai peut-être introduit des erreurs.
                  Comme je l’ai écrit, le fichier smb.conf présenté est incomplet, parce que je me suis focalisé sur les trucs utiles, le reste est normalement déjà dans le smb.conf fourni par ta distro.

                  J’avais écrit tout ça sous Debian il y a quelques années quand Vista/Seven est arrivé (je crois que c’était une Debian Squeeze à l’époque), il y a peu de chance que tu rencontres beaucoup de XP aujourd’hui mais comme ça tu couvres tout le spectre et tu sais que tu as d’avance une configuration qui n’est pas propre à Seven, si Microsoft casse encore les profils à l’avenir, tu sais par quel bout le prendre !

                  Note, autre astuce en passant, si un utilisateur doit utiliser un vieux programme DOS dans le terminal, à partir de Windows Vista tu peux installer dans C:\Windows\System32 le fichier KEYB.EXE de FreeDOS, ce qui permettra à ton utilisateur de faire KEYB FR pour utiliser un clavier Azerty car depuis Windows Vista l’émulation DOS est QWERTY only.

                  ce commentaire est sous licence cc by 4 et précédentes

                  • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                    Posté par  . Évalué à 1.

                    Pour info ton script de démarrage se remplace très bien (si tu es en samba 4 sur un AD) avec un conf directe dans le profil utilisateur (tu définis le chemin du home et sur quel répertoire le monder) et le home.reg par une GPO… Mais je pense que t'es encore en domaine NT4 ça doit être pour ça non ?

                    Sur la redirection de dossier je sais que j'avais commencé à la mettre en place mais (que ce soit sous XP ou sous Seven), les fichiers hors connexion faisaient du flip flap continuel (toutes les 5 minutes connexion perdue puis retrouvée 5s plus tard avec fenêtre de synchro et tout) ça doit être ce que tu entends par "désactiver la synchro"… Mais du coup pépin réseau = freeze de la machine

                    • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                      Posté par  (site web personnel) . Évalué à 5.

                      Pour info ton script de démarrage se remplace très bien (si tu es en samba 4 sur un AD) avec un conf directe dans le profil utilisateur (tu définis le chemin du home et sur quel répertoire le monder) et le home.reg par une GPO… Mais je pense que t'es encore en domaine NT4 ça doit être pour ça non ?

                      Je ne suis pas encore en Samba 4 d’une part, et d’autre part ça a été écrit il y a plusieurs années. :-) Je suppose qu’il doit bien y avoir d’autres méthode aujourd’hui pour faire la même chose, mais tant que ça marche, je ne vais pas prendre le risque de pourrir les profils de mes utilisateurs avec des expérimentations. :-)

                      Sur la redirection de dossier je sais que j'avais commencé à la mettre en place mais (que ce soit sous XP ou sous Seven), les fichiers hors connexion faisaient du flip flap continuel (toutes les 5 minutes connexion perdue puis retrouvée 5s plus tard avec fenêtre de synchro et tout) ça doit être ce que tu entends par "désactiver la synchro"…

                      Je n’ai aucun fichier hors connexion effectivement, les seules choses qui s’apparentent à du hors connexion sont les fichiers Local Settings\Application Data et l’équivalent sous Seven dont je n’ai pas le nom en tête, mais justement, ce sont des fichiers qui le serveur ne voit jamais car ils sont propres à la machine et ils peuvent être jetés avec la machine quand elle tombe en panne.

                      La seule donnée en Roaming est le profil utilisateur, et à part ça tout est en réseau en direct. Il n’y a pas de fichier hors-connexion à synchroniser, ni de documents personnels qui ne seraient envoyés qu’à la fermeture de la session.

                      Dans tous les cas, il faut sortir de la stratégie “Roaming” qui est d’une absurdité sans nom. L’idée que le serveur ne voit pas les données entre l’ouverture et la fermeture de la session est une aberration incroyable, par conception le système n’est pas tolérant aux pannes, puisqu’il ne fonctionne que si les sessions sont correctement fermées, et accessoirement, il ne fonctionne que si les sessions sont régulièrement fermées (sinon le serveur ne voit jamais les données, comment sauvegarder ?), et si plusieurs sessions sont ouvertes, la dernière fermée écrase les précédentes (et hop, voilà comment perdre des fichiers facilement).

                      Qui plus est, chose très utile, puisque tout est en réseau, la gestion des quotas se fait directement sur le serveur et le poste de travail y est contraint en temps réel. Il est possible de constater en temps réel l’utilisation disque de chacun, et hop, écarté le risque de ruiner un profil à la fermeture de session parce qu’un utilisateur a ripé un CD en Wav et que hop, avec 700M d’un coup, le renvoi de la session à la fermeture explose le quota. Non, dans ce cas, c’est le logiciel pour ripper les CD qui râle. Aussi, avec les quota soft/dur, l’admin peut être averti quand l’utilisateur dépasse son quota soft (sans le bloquer) et il peut prendre les mesures adéquat. En Roaming, il faut, là encore, attendre la fin de la sessions.

                      Conserver une stratégie en Roaming est le meilleur moyen d’aller à la catastrophe, de pourrir des profils, de perdre des fichiers et de ne jamais les sauvegarder !

                      Je ne vois pas l’utilisateur partir le soir en fermant sa session après des jours de travail sans la fermer, arriver le lendemain matin, échouer à réouvrir sa session, après réparation du profil découvrir qu’il lui manque des fichiers, et constater que la sauvegarde ne les a jamais vu, les boules !

                      Mais du coup pépin réseau = freeze de la machine

                      En fait il faut se dire que c’est exactement comme si les dossiers utilisateurs étaient servis sur un montage NFS, donc il faut avoir un réseau de qualité qui ne tousse pas, mais contrairement à NFS, un montage en timeout n’est pas figé quand ça arrive (interface chaise clavier qui débranche malencontreusement le câble Ethernet), comme je l’ai dit, il suffit de réactualiser le bureau et TOUS les montages réseaux reviennent. Je n’ai jamais vu un Windows se figer à cause d’une coupure réseau intempestive, j’ai trois domaines qui fonctionnent ainsi avec plus d’une centaine de postes, s’il y avait des gels je le saurait. :-)

                      Note: nous n’avons aucun poste de travail en WiFi sur le domaine, et les rares portables ne sont ni en WiFi ni en domaine, ils ont seulement un accès aux disques et imprimantes du domaines, peut-être que ça joue beaucoup. :-)

                      ce commentaire est sous licence cc by 4 et précédentes

                      • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

                        Posté par  . Évalué à 1.

                        Je vais ptet essayer d'y aller progressivement en commençant par rediriger le bureau et voir comment ça tourne. Je sais que les premiers tests avaient été avortés pour cause de fichiers hors connexions qui devenaient dingues (sans réussir à trouver pourquoi… le serveur est là, il a un ping de qqes millisecondes mais Windows passe offline). Maintenant qu'ils sont désactivés ça vaudrait peut être le coup de réessayer. Mais j'ai un peu peur de la latence sur les gros fichiers.

                        Pour les portables nous ils sont sur le domaine avec une GPO spécifique qui dit « pas de roaming ni de redirection de dossier », du coup on a le beurre (déploiement de soft, authentification unique) et l'argent du beurre (pas de soucis en 3G).

                        Merci pour les infos en tout cas :-)

        • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

          Posté par  . Évalué à 6.

          les DSI n'aiment pas installer n'importe quoi, pour des raisons de sécurité

          C'est marrant, pour ne pas installer n'importe quoi et pour des raisons de sécurité, ils ont IE et Windows XP. Pour ma part, c'est exactement pour les mêmes raisons que j'évite à tout prix cette solution.

    • [^] # Re: et une forte majorité de DSI imposent IE en entreprise

      Posté par  (site web personnel) . Évalué à 4.

      On parle de Internet Explorer Mobile (https://en.wikipedia.org/wiki/Internet_Explorer_Mobile), pas Internet Explorer version Desktop imposé par les DSI.

  • # J'ai bien tout compris ?

    Posté par  . Évalué à 9.

    Microsoft connaît depuis 4 mois (au moins) le détail des failles.
    Microsoft sait que les failles vont être publiées.
    Microsoft n'a pas corrigé.
    C'est bien ça ou j'ai raté quelque chose ?

    Vu le « faible » prix pour corriger le problème, la seule raison que je vois est un message du genre « ta famille va bien ? C'est important qu'elle aille bien tu sais. Laisse ces failles mon ami, laisse, ça va nous aider à lutter contre les entreprises étrangères terroristes ».

    Judiciairement, aux USA, ça ne peut pas faire un carton ? Comme les plaintes contre les constructeurs automobiles qui ne corrigent pas les problèmes.

    • [^] # Re: J'ai bien tout compris ?

      Posté par  . Évalué à 6.

      Peut-être que MS, en plus de délaisser IE pour Edge, n'a plus d'équipe de développement pour IE ? (c'est bien arrivé du temps de IE6…)

      "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

    • [^] # Re: J'ai bien tout compris ?

      Posté par  . Évalué à 10.

      Ou comment ne rien comprendre à la problématique…

      Je te donnes un autre scénario, qui lui est arrivé des dizaines de fois quand j'étais chez MS :

      1) Microsft est informé des failles
      2) Microsoft regarde, trouve que l'info est correcte et se met au boulot
      3) Les devs se mettent à créer les patchs pour toutes les versions vulnérables
      4) En parrallèle des ingénieurs sécurité se mettent à regarder si il y a des failles similaires
      5) Peu avant la sortie prévue, des failles très similaires sont trouvées par 4) ou des régressions sont trouvées par les testeurs qui vérifient les patchs crées en 3)

      Résultat, MS se trouve devant le choix de :

      1) Sortir un patch qui casse des trucs, et que les gens au final n'installeront pas, mais qui donnera toutes les infos sur les vulnerabilités aux 'bad guys'
      2) Sortir un patch qui corrige le problème, mais qui ne corrige pas X autres problèmes extremement similaires et qui seront vite détectés une fois la faille originelle publique
      3) Se remettre immédiatement à bosser sur un patch qui résoud les problèmes décrits plus haut, et retarder la sortie

      Inutile de dire que 3) est la solution au final qui est la moins mauvaise.

      Ca fait plus de 10 ans que MS corrige les failles trouvées dans IE, tu crois que comme ça, au hasard, ils se sont dit "ah ben non, ces 4 là on a pas envie, on va aller faire du kayak plutôt" ?

      • [^] # Re: J'ai bien tout compris ?

        Posté par  . Évalué à 8.

        Je trouve ton commentaire pertinent, pourtant je ne peux m'empêcher de penser que d'ici quelques jours Microsoft va publier un patch qui va corriger ces failles sans apporter de régressions… Mais j'ai peut-être mauvais esprit ;) Il y aurait donc peut-être un petit 6) Microsoft n'a pas vraiment mis les moyens pour une correction rapide de ces failles.

        • [^] # Re: J'ai bien tout compris ?

          Posté par  . Évalué à 2.

          Mais évidemment qu'ils vont sortir un patch. C'est exactement ce que mon post dit ! Simplement ils n'ont pas pu arriver à la date voulue.

          Quand à ne pas mettre les moyens. Les moyens sont là et ils l'ont été depuis des années, il y a des centaines de patchs qui le montrent. J'en sais quelque chose j'ai passé des années et des années à faire exactement ce boulot là-bas, les gens qui s'occupent de ces patchs je les connais personnellement.

          • [^] # Re: J'ai bien tout compris ?

            Posté par  (site web personnel) . Évalué à 1.

            Si le processus est vraiment comme tu l'indiques, ça doit vraiment être des boulets pour réussir à sortir des mises à jour qui cassent tout :p

            http://www.generation-nt.com/windows-7-patch-mise-jour-kb3004394-probleme-update-actualite-1909840.html

            • [^] # Re: J'ai bien tout compris ?

              Posté par  . Évalué à 4.

              C'est pas pire que les mises à jour de ext4 qui cassent tout, comme le "EXT 4 RAID 0 Corruption Bug" (pour 0.1 % des gens là aussi). :-p

              "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

              • [^] # Re: J'ai bien tout compris ?

                Posté par  (site web personnel) . Évalué à -1. Dernière modification le 24 juillet 2015 à 13:14.

                A la différence près qu'il n'y pas dans le libre de système de validation des patchs comme le décrit PBPG.

                Et ton exemple ne concerne que les gens qui utilisent une distrib qui ne valide pas ses paquets, à savoir ArchLinux :p

                • [^] # Re: J'ai bien tout compris ?

                  Posté par  . Évalué à 1.

                  il n'y pas dans le libre de système de validation des patchs

                  c'est pour ça qu'on sert les fesses à chaque grosse update.

            • [^] # Re: J'ai bien tout compris ?

              Posté par  . Évalué à 1.

              Tu aurais raison si la description de l'article était vraie pour toute personne qui a installé le patch, le truc est que ce n'est pas le cas, seuls certains ont eu le probléme.

              Raison ? C'est du a des configurations particulières, et évidemment il n'est pas possible de toute tester.

        • [^] # Re: J'ai bien tout compris ?

          Posté par  . Évalué à 8.

          sachant qu'on a déjà moultes exemples qui prouvent que les régressions ce n'est pas toujours leur soucis, indépendamment de l'historique IE6 où on pourrait en dire des tonnes. Il y a 5 ou 6 mois, je ne sais plus exactement, ils ont sorti un patch critique qui a cassé un certain nombre de choses chez Netapp, DELL et autres fournisseurs de stockage et même chez eux puisque Azure a été inaccessible pendant 6 heures.

          Ils ont corrigé pour eux pour faire repartir azure mais ont dit aux autres que les corrections ne seraient jamais faites. Au final, on se traîne un patch désactivé car bien entendu il est toujours publié, donc on peut cogner sur mozilla qui laisse des tickets ouverts mais il y en a d'autres !

          • [^] # Re: J'ai bien tout compris ?

            Posté par  . Évalué à 1.

            Oh tu sais, niveau régressions, je penses qu'on peut prendre n'importe qui en comparaison à MS, et MS sortira gagnant. Personne dans l'industrie ne fait autant attention à ne rien casser qu'eux à ce niveau.

            Tu as vu ou qu'Azure indisponible 6 heures était du à ce patch, et qu'ils ont corrigé le problème pour eux seulement en passant ? Moi je vais appeler ça une énorme supputation sans rien de solide…

      • [^] # Re: J'ai bien tout compris ?

        Posté par  . Évalué à 10.

        Non, moi je crois que c'est juste fait exprès parce que MS, c'est le Maaaaaal!!

        ----> [ ]

      • [^] # Re: J'ai bien tout compris ?

        Posté par  . Évalué à 10.

        tu crois que comme ça, au hasard, ils se sont dit "ah ben non, ces 4 là on a pas envie, on va aller faire du kayak plutôt" ?

        En même temps, c'est sympa le kayak. On pourrait comprendre.

      • [^] # Re: J'ai bien tout compris ?

        Posté par  (site web personnel) . Évalué à 10. Dernière modification le 25 juillet 2015 à 19:43.

        5) Peu avant la sortie prévue, des failles très similaires sont trouvées par 4) ou des régressions sont trouvées par les testeurs qui vérifient les patchs crées en 3)

        Oui, ça, ça doit arriver, on va dire pour être large, 15 jours (le temps de trouver la faille exacte dans le code, de patcher, et de faire tourner les tests de non régression qui sont prêt à être lancés) après l'étape 1.
        Et c'est reparti pour allez disons 1 semaine de retests.

        euh… Les mecs ont eu 120 jours! tu ne fais pas l'étape 5 à 119è jour (ou alors tu peux t'en prendre qu'à toi-même si il faut plus de temps).

        Bon, admettons, tu es à +10 donc plein de monde est d'accord avec toi, donc je serai curieux de savoir combien de temps tous les gens qui ont mis +1 à ce commentaire jugent qu'il faut avant de sortir la faille non corrigée? 6 mois? 1 an? 10 ans? 100 ans?

        Perso, je trouve que 4 mois c'est déjà énorme (d'habitude, c'est 90 jours, Microsoft a eu déjà 30 jours de plus que ce qu'on a généralement).

        Perso, je trouve que ton explication est parfaitement valide… a condition que Microsoft n'ai pas encore rien au bout de 120 jours. J'aurai compris si les mecs avaient fait le 0-day allez disons 30 jours après (soyons large, parce que j'ai aussi entendu de la part de clients "bon vous avez 48 heures pour me fixer ça, faut pas déconner", certes plus petits que Microsoft mais est-ce une excuse?).

        • [^] # Re: J'ai bien tout compris ?

          Posté par  . Évalué à 0. Dernière modification le 25 juillet 2015 à 22:05.

          Oui, ça, ça doit arriver, on va dire pour être large, 15 jours (le temps de trouver la faille exacte dans le code, de patcher, et de faire tourner les tests de non régression qui sont prêt à être lancés) après l'étape 1.

          Ben oui, bien sur ! En fait, MS pendant plus de 10 ans a mis bcp plus longtemps pour sortir ses patchs parce que…. parce que … ils étaient en vacances ? Ils s'en fichaient ? Ils étaient autour de la machine à café ? Ils sont totalement incompétents et ne savent pas écrire plus d'une ligne de code par jour ?

          Il y a évidemment les tests de fonctionalité, il y a aussi les tests de localisation, de compatibilité descendante avec les 236223 diffèrentes configurations HW et softwares existants (eh oui, un browser ca touche la 3D et autres et plein de softs réutilisent le moteur de rendering d'IE sans parler des extensions et autres), les tests de sécurité pour s'assurer qu'on n'a pas ajouté un problème de sécurité en essayant d'en enlever un, un deep dive pour essayer de trouver les failles similaires, etc…

          Maintenant essayes de mettre ça dans ton scénario imaginaire de 2 semaines pour corriger et tester. Parce qu'évidemment ces tests ne vont pas commencer à tourner avant que le patch soit prèt, le deep dive des ingénieurs sécurité prend du temps, surtout si ils sont en train de bosser sur d'autres failles en parrallèle. Et souvient toi qu'on parle ici de toutes les versions touchées, ça pourrait être IE8, 9, 10, 11 versions desktop, Metro et mobile.

          Ensuite il y toute la problèmatique du nombre de gens disponibles (dans le team IE, et dans les teams sécurité, Windows, …), parce qui si il se trouve que le mois précédent un ou deux gars se sont barré chez une autre boite et que des remplacants n'ont pas encore été trouvé, et qu'en même temps une avalanche de trucs arrive sur ce team, ben c'est la merde, et non, tu ne peux pas garder 3 employés sous la main juste au cas ou dans chaque équipe parce que tu es le riche MS. Ces 3 employés qui ne servent pas à grand chôse sauf en cas de problème ils vont se faire chier, se plaindre qu'ils ne font pas grand chose d'intéressant et se barrer car ils ont de l'ambition, veulent voir leur carrière progresser et il y a 200 boites qui leur offre un job tous les mois.

          MS pourrait regarder le patch et éviter certains tests parce que clairement cela ne touche pas ce code ?
          Ah ben ça semble logique effectivement… sauf que dans les 3 mois précédents le team a corrigé 6 ou 7 bugs de fonctionalité pour des clients et leur a envoyé un patch. Maintenant ces changements vont se retrouvé deployés chez tout le monde, 1 milliard de personnes donc, potentiellement, et donc toutes ces sections de code qu'ils touchent doivent étre couvertes en profondeur. Bref, faut quasiment tout tester assez souvent.

          Mon avis perso est que tu ne te rends pas du tout compte de tout ce que cela implique de tester une gamme, parce qu'on parle de plusieurs versions à corriger le plus souvent hein, de systèmes d'exploitation ou de browsers qui sont utilisés de 20'000 manières diffèrentes avec des milliers de dépendences diffèrentes par 1 milliard de personnes.

          • [^] # Re: J'ai bien tout compris ?

            Posté par  (site web personnel) . Évalué à 8. Dernière modification le 25 juillet 2015 à 22:16.

            ok, admettons (oui, ça veut dire que je ne suis pas convaincu mais prend cette hypothèse pour la suite)
            et j'ai fait l'erreur de demander à ceux qui ont plussé et non pas à l'auteur, donc je reprend la question : de combien de temps juges-tu qu'il faut avant de sortir la faille non corrigée? 6 mois? 1 an? 10 ans? 100 ans?
            Question bonus : pourquoi la norme tend-elle alors vers 90 jours pour les autres (y compris des boites qui gèrent plus d'1 milliard d'instances) et que juste Microsoft ne devrait pas avoir "si peu" de temps pour corriger?

            A noter que plus on attend, et plus on a de risques qu'un autre, moins sympa que ceux qui acceptent l'embargo, trouve la faille et l'exploite… du coup je suis plus convaincu par l'utilité d'un nombre de 90 pour tout le monde, arbitraire, oui mais non, c'est un compromis entre 2 problèmes (tests vs risques de découverte), et attend du coup une bonne argumentation pour dépasser ce nombre autre que "bah on a eu quelques problèmes internes".

            • [^] # Re: J'ai bien tout compris ?

              Posté par  . Évalué à 4. Dernière modification le 25 juillet 2015 à 23:48.

              et j'ai fait l'erreur de demander à ceux qui ont plussé et non pas à l'auteur, donc je reprend la question : de combien de temps juges-tu qu'il faut avant de sortir la faille non corrigée? 6 mois? 1 an? 10 ans? 100 ans?

              Cela dépend de plusieurs facteurs :

              • La complexité du correctif et du code ou se trouve le bug
              • L'impact de la faille (genre tu trouves une faille simple à corriger, mais qui est dans un template C++ largement utilisé, ça amène à faire des correctifs pour 200 produits diffèrents)

              Il y a des patchs que MS pourrait sortir en 3 semaines sans problème, et dans de rares cas même en 2-3 jours. Il y a aussi d'autres patchs qui vraiment prennent des mois et des mois à cause de la complexité énorme du problème.

              pourquoi la norme tend-elle alors vers 90 jours pour les autres (y compris des boites qui gèrent plus d'1 milliard d'instances) et que juste Microsoft ne devrait pas avoir "si peu" de temps pour corriger?

              Je ne connais aucune boite qui a à gèrer un écosystème aussi large, complexe et hétérogène que MS, et surtout, j'en connais très très peu qui font la masse de tests que MS fait. L'effort pour s'assurer que rien ne casse est largement, je dis bien largement, plus gros chez MS que chez la concurrence. MS fait bien attention à ce que même la plupart des softs pourris continuent à fonctionner là oû la plupart des autres se fichent royalement de casser ces softs là.

              Android ? C'est un OS ou il y a très peu de variance en réalité : du HW diffèrent mais il n'y a quasiment aucune possibilité d'extension/modification de l'OS dans les configurations supportées. Google ne fait du support que pour les versions très récentes en plus.
              Mac OS / iOS : Le HW est totalement sous contrôle de la boite
              Firefox : Problèmatique très diffèrente, pas d'intégration dans un OS, pas de nombreux softs pour certains datant de Mathusalem qui réutilisent sont moteur de rendering, etc…
              Chrome : Idem que Firefox

              A noter que plus on attend, et plus on a de risques qu'un autre, moins sympa que ceux qui acceptent l'embargo, trouve la faille et l'exploite… du coup je suis plus convaincu par l'utilité d'un nombre de 90 pour tout le monde, arbitraire

              Moi j'appelle ça la belle théorie qui en pratique n'a aucune valeur. Pourquoi ? Parce qu'en pratique on n'a quasiment (c'est arrivé mais en 13 ans ca doit se compter sur les doigts des 2 mains) jamais vu 2 personnes nous rapporter la même faille durant la même période chez MS. Les chances qu'un gus la trouve dans les 20 ou 30 jours supplèmentaires pour sortir un patch de qualité sont ridicules, surtout en face du risque qu'un mauvais patch poserait à la plupart des gens.

              MS a depuis des années des sources multiples niveau télemetrie, et dés le moment ou il y a détection qu'une faille est peut-être exploitée de manière active, MS se met à évaluer le risque de sortir un patch à la vite comparé au risque encouru par l'exploitation.

              Faut revenir sur terre un peu, MS est dans ce business de corriger des failles depuis 15 ans, ils ont une expèrience et une qualité construite pendant tout ce temps. A peu près toutes les boites de l'informatique moderne (Google, Amazon, VMWare, …) sont allées prendre des employés de chez MS pour construire leur propre teams sécurité, c'est pas un hasard. Ils savent ce qu'ils font, et plutôt qu'aller dire qu'ils s'en foutent/sont incompétents/… quand ils font qqe chose que vous ne comprenez pas, il serait humble de vous demander si il n'y a pas une bonne raison à leur comportement.

              • [^] # Re: J'ai bien tout compris ?

                Posté par  . Évalué à 3.

                MS fait bien attention à ce que même la plupart des softs pourris continuent à fonctionner là oû la plupart des autres se fichent royalement de casser ces softs là.

                Android ? C'est un OS ou il y a très peu de variance en réalité : du HW diffèrent mais il n'y a quasiment aucune possibilité d'extension/modification de l'OS dans les configurations supportées. Google ne fait du support que pour les versions très récentes en plus.

                La clé du problème est peut-être là, non ? S'il y a trucs pourris qui fonctionnent, pourquoi ne pas les arrêter, et en faire quelque chose de mieux ? Plutôt que d'essayer de remplir le tonneau des Danaïdes…

                • [^] # Re: J'ai bien tout compris ?

                  Posté par  . Évalué à 2.

                  La clé du problème est peut-être là, non ? S'il y a trucs pourris qui fonctionnent, pourquoi ne pas les arrêter, et en faire quelque chose de mieux ?

                  Pourquoi ? Parce qu'il y a des utilisateurs de Windows qui en dépendent et que si un patch casse cela, non seulement cela emmèrdera nombre d'utilisateurs et les empêchera de faire leur boulot, mais certains n'installeront pas le patch de sécurité à cause de cela.

                  Au fil des années MS élimine doucement ces choses, mais c'est certainement pas quelque chose à faire avec un patch de sécurité.

                  • [^] # Re: J'ai bien tout compris ?

                    Posté par  . Évalué à 3.

                    Non, évidemment que ce n'est pas le patch de sécurité qui doit amener à détruire un outil pourri, ou mal construit. Mais, il doit y avoir une décision stratégique qui doit être prise lorsque un outil est mal conçu, avec beaucoup de failles.

                    C'est un peu ce que devrait faire Adobe avec Flash. Le laisser tomber et/ou proposer autre chose. Mais pas rester à maintenir quelque chose d'à moitié mort.

                    D'ailleurs, ce n'est pas ce que fait Microsoft avec leur nouveau navigateur (Edge, il me semble) ? Il y a aussi le fait qu'IE souffre d'une mauvaise réputation, et donc, ils veulent changer de nom. Mais, ce n'est pas qu'un changement de nom paraît-il, c'est un logiciel complètement différent.

                    • [^] # Re: J'ai bien tout compris ?

                      Posté par  . Évalué à -3.

                      IE a pas mal de failles oui, tout comme Firefox et Chrome. On notera notamment que FF n'a pas de sandbox ce qui le rend bien pire niveau sécurité que IE, mais pourtant je ne t'entends pas parler d'éliminer FF. A mon avis c'est du au fait que tu supputes qu'IE est pire car il est dans les news et pas FF. Devines quoi, il ne faut pas juger un produit sur les manchettes de journaux qui le mentionnent.

                      • [^] # Re: J'ai bien tout compris ?

                        Posté par  . Évalué à 3.

                        Je n'ai pas dit qu'il était mauvais, j'ai dit qu'il souffrait de mauvaise réputation, et que c'était sans doute pour cela que Microsoft préférait bâtir un nouveau navigateur plutôt que de maintenir IE.

                        Je ne suis pas assez calé pour te dire quel navigateur est le plus performant. J'utilise Firefox parce que c'est LE grand navigateur libre (y en a d'autres certes). Je n'utilise pas (ou très peu) Chromium, bien que je pourrai. C'est libre, mais géré par Google. Par contre, je n'utiliserai pas IE car ce n'est pas libre.

                        Attention, je ne dis pas que Firefox est bien meilleur que n'importe quel autre navigateur. Si on me dit que Chrome/Chromium est bien meilleure sur tel ou tel domaine, je dirais que c'est sans doute vrai.

                    • [^] # Re: J'ai bien tout compris ?

                      Posté par  (site web personnel) . Évalué à 3.

                      Mais ils ne l'éliminent pas totalement : tu auras toujours IE dans Windows 10 (pour des raisons de compatibilité, justement), et tu auras Edge pour la vie de tous les jours.

                      • [^] # Re: J'ai bien tout compris ?

                        Posté par  . Évalué à 3.

                        Compatibilité avec qui et quoi ? Je dis pas ça pour troller, mais ça m'intéresse vraiment. Si une nouvelle solution est mise en place, et si elle est effectivement meilleure (cela se veut meilleur en tout cas). Si des clients ont vraiment besoin d'IE pour une application qu'ils ont développé, et que cela reste compatible ?

                        Mais, il faut bien à un moment donné qu'ils évoluent, non ? Dans ce cas-là, pourquoi on est pas resté avec les vieilles versions d'IE, de Word, ou de Windows ? Au cas où dans le doute où une entreprise utilise ces logiciels et ait besoin que cela reste compatible… Dans ce cas-là, pMicrosoft a bien arrêté le support de XP, non ? Pourquoi ne pourrait-il pas arrêté le support d'IE ? Pas tout d'un coup, mais progressivement, en communiquant.

                        • [^] # Re: J'ai bien tout compris ?

                          Posté par  (site web personnel) . Évalué à 2.

                          Pourquoi ne pourrait-il pas arrêté le support d'IE ? Pas tout d'un coup, mais progressivement, en communiquant.

                          C'est ce qu'ils vont faire, avec le même tempo (~10 ans entre Vista et l'arrêt de XP, donc 10 ans entre la sortie de Edge et l'arrêt de IE, rendez-vous dans 10 ans).

                          • [^] # Re: J'ai bien tout compris ?

                            Posté par  . Évalué à 1.

                            C'est pas un peu long 10 ans ?

                            On se plaint, pour le web par exemple, que bon nombre d'entreprises tournent avec des vieilles versions d'IE, que c'est galere pour le developpement web. Mais on dit que les entreprises ne font pas les mises a jour car elles n'ont pas le temps.

                            Mais en meme, si les editeurs ne font pas le pressing pour changer, evoluer et mettre a jour, c'est un peu normal, non ?

                            10 ans, ca me parait vraiment enorme aujourd'hui ou l'on est de plus en plus entrain de mettre des mises a jour en continue et automatique. Mais Microsoft va vouloir continuer a s'occuper du vieillissant IE pendant encore 10 ans ? En fait, c'est pareil pour Flash et Adobe…

                            • [^] # Re: J'ai bien tout compris ?

                              Posté par  . Évalué à 0.

                              Et tu penses qu'une société qui se préoccupe des désirs de ses utilisateurs devrait faire quoi ? Forcer ses utilisateurs à changer fréquemment en leur disant que c'est pour leur bien et qu'ils n'ont pas le choix ?

  • # imposition

    Posté par  . Évalué à -2.

    On impose souvent IE car les applis métiers sont souvent en Java, proviennent de boîtes pourries comme Sopra…par exemple ici on nous impose du jre-6u45-windows-i586, pour tout le système financier…et après on s'étonne que tout parte en couille !

    • [^] # Re: imposition

      Posté par  . Évalué à 6.

      On impose souvent IE car les applis métiers sont souvent en Java

      Je vois pas vraiment le rapport avec Java, c'est plutôt que les applis métiers ne sont codées/testées que sur IE.

    • [^] # Re: imposition

      Posté par  (site web personnel) . Évalué à 8.

      On impose souvent IE car les applis métiers sont souvent en Java, proviennent de boîtes pourries comme Sopra…

      Pourquoi vous n'imposez pas à vos sous traitant d'etre compatible avec autre chose ?

      • [^] # Re: imposition

        Posté par  . Évalué à 10.

        Pourquoi vous n'imposez pas à vos sous traitant d'etre compatible avec autre chose ?

        Parce que si tu fais ça, le commercial du sous-traitant va venir voir ton patron, voire ton grand patron, et lui expliquer par le menu que tu es un putain d'incompétent ; que des mecs qui ont fait tes choix technologiques il y en a eu, bien sûr, mais qu'ils ont tous fait machine arrière la queue entre les jambes depuis ; que évidemment il ne s'agit pas de mettre en cause l'expertise technique de ses employés et qu'il fera comme il voudra, mais qu'il préfère te mettre en garde. Et ça marche avec n'importe quelle forme de fournisseur, en fait.

        • [^] # Re: imposition

          Posté par  . Évalué à 6.

          Et puis il faut prendre en compte que quand tu pousses une solution, le jour où il y aura un gros problème, ce sera ta faute (tu as fait un mauvais choix, vois-tu).
          Alors que si tu restes dans les sentiers battus, si il y a un problème ce sera la faute de Windows/IE/Java/Oracle/Cisco/insérer votre produit daycideur-pressé-compliant ici.

          • [^] # Re: imposition

            Posté par  (site web personnel) . Évalué à 7.

            Effectivement, comme on dit, « Jamais personne n’a été viré pour avoir choisi IBM » :)

            ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: imposition

        Posté par  . Évalué à 3.

        Parce-que je suis une petite merde au bout de la chaîne et que pour négocier cela en haut lieu, il faut faire partie de l'élite, avoir des copains qui t'invite au Maroc dans leurs villas, être dans une loge, avoir fait tes études dans les mêmes écoles…

      • [^] # Re: imposition

        Posté par  . Évalué à 1.

        Peut être sont-ils eux-mêmes sous-traitant, et leurs commanditaires leur imposent déjà leurs choix.

    • [^] # Re: imposition

      Posté par  (site web personnel) . Évalué à 4.

      Et merde, DLFP va encore se prendre un procès…

      Il voulait par dire pourries, c'est le correcteur orthographique de son SmartPhone…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.