Le Rapport sur les données de sécurité Microsoft présente un point de vue détaillé sur le contexte versatile des menaces, notamment la divulgation et l'exploitation des vulnérabilités, les logiciels malveillants et les logiciels potentiellement indésirables.

Rapport Microsoft sur les données de sécurité - Microsoft Sécurité

Il n’est plus nécessaire d’avoir un processeur dernier cri pour profiter du “Virtual XP Mode” sous Windows 7 Entreprise, professionnel et Ultimate. Enfin !

Download Windows XP Mode

De multiples vulnérabilités dans plusieurs produits Symantec permettent l'exécution de code arbitraire à distance ou le contournement de la politique de sécurité.

Multiples vulnérabilités dans plusieurs produits Symantec

Il est possible que vous rencontriez des problèmes lors du transfert de données d'un périphérique USB vers un ordinateur Windows 7 ou Windows Server 2008 R2 équipé d'un chipset NVIDIA USB EHCI et d'au moins 4 Go de mémoire RAM.

Détails du téléchargement : Mise à jour pour Windows 7 (KB976972)

Hop, pour la fin d’année, quelques machines virtuelles pour bricoler / tester…

IE6-XPSP3.exe contains a Windows XP SP3 with IE6 VHD file. Expires April 1, 2010

IE7-XPSP3.exe contains a Windows XP SP3 with IE7 VHD file. Expires April 1, 2010

IE8-XPSP3.exe contains a Windows XP SP3 with IE8 VHD file. Expires April 1, 2010

IE7-VIS1.exe+IE7-VIS2.rar+IE7-VIS3.rar contain a Vista Image with IE7 VHD file. Expires 120 days after first run.

IE8-VIS1.exe+IE8-VIS2.rar+IE8-VIS3.rar+IE8-VIS4.rar contain a Vista Image with IE8 VHD file. Expires 120 days after

Download details: IE App Compat VHD

Enfin, Orange communique !

Ci-dessous, le mail reçu suite à la réclamation d’un abonné ADSL:

Bonjour,

Dans votre e-mail du 27/12/2009, vous nous faites part de votre demande concernant des baisses de débit sur certains sites .

Vous nous signalez des problèmes de ralentissement sur YouTube (ou MegaVideo, MegaUpload).

Ce dysfonctionnement a bien été identifié par Orange et il est en cours de traitement.

Ces contenus sont diffusés depuis les Etats-Unis par des réseaux saturés, indépendants d’Orange.

Orange est actuellement en pourparlers avec les responsables de ces différents réseaux et prestataires de service pour régler la situation dans les meilleurs délais.

Nous n'avons pas pu obtenir, jusqu’à présent, de solutions satisfaisantes, mais les discussions se poursuivent et devraient en principe aboutir à une amélioration du service fin janvier.

Bien cordialement,

Votre conseiller client.

Merci à Bob51 pour l’info.

Source : Forum ORANGE / Concretement, Orange bride t-il?

Cela fait maintenant 2 mois que le débit est critique aux “heures de pointe” sur des sites comme Youtube et Megaupload (voir les billets précédents). Cette saturation est provoquée, en partie, par un problème/mauvais réglage (rayer la mention inutile) des DNS d’Orange.

Petite explication :

Un serveur DNS effectue la traduction entre l’adresse d’un site (URL, par exemple www.trucmuchebidule.com) et son adresse IP (12.34.56.78, au hasard). Ce couple URL-adresse IP est en théorie le même sur tous les serveurs DNS de tous les FAI de la planète.

Hors, les DNS des caches des vidéos Youtube sont modifiés plusieurs fois par jour, certainement pour équilibrer la charge entre les différents serveurs. Pour être exact, le “temps de vie” (TTL) de ce couple URL/IP est de 5 minutes (ce qui veut dire que ce couple PEUT être modifié toutes les 5 minutes).

C’est là que les DNS Orange montrent un défaut : lorsque l’on interroge l’adresse de l’un des caches vidéo de youtube, on obtient systématiquement une adresse en 208.117… , ce qui semble, à minima, ne pas respecter ce TTL :

C:\>nslookup v15.lscache1.c.youtube.com
Serveur :   dns-adsl-gpe1-a.wanadoo.fr
Address:  80.10.246.1

Réponse ne faisant pas autorité :
Nom :    v15.lscache1.l.google.com
Address:  208.117.248.35
Aliases:  v15.lscache1.c.youtube.com

Cette adresse renvoie sur un serveur situé à miami (traceroute à l’appui)…

Alors que si on interroge ce même cache, à quelques secondes d’intervalle, via le DNS de Google :

C:\>nslookup v15.lscache1.c.youtube.com google-public-dns-a.google.com
Serveur :   google-public-dns-a.google.com
Address:  8.8.8.8

Réponse ne faisant pas autorité :
Nom :    v15.lscache1.l.google.com
Address: 74.125.4.35
Aliases:  v15.lscache1.c.youtube.com

Cette fois ci, l’adresse renvoyée est en europe (les temps de réponse restent en dessous des 50 ms, ce qui signifie que l’on ne traverse pas l’atlantique) et sur des liens avec une bande passante largement suffisante.

Donc, l’adresse renvoyée par les DNS d’Orange pour ces “caches vidéo” Youtube contribuent à la saturation du lien transatlantique, en routant tout le trafic de Youtube (et ce n’est pas rien !!!) des abonnés Orange via un lien (Cogent ou Level3) qui ne supporte pas une telle demande.

Une petite précision : malheureusement, les serveurs MegaUpload ne sont joignables que via ce lien transatlantique actuellement saturé et il est inutile de changer de DNS dans ce cas précis, car les adresses IP sont correctes sur tous les serveurs DNS.

En attendant qu’Orange veuille bien faire en sorte que ses DNS respectent les usages habituels, je vous propose de passer vos DNS sur les DNS publics de Google, ce qui vous donnera un débit correct sur Youtube.

Set Shell = Wscript.CreateObject("WScript.Shell")

Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\.\root\cimv2")

Set colNetCards = objWMIService.ExecQuery _
    ("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = True")

TmpStr=""

For Each objNetCard in colNetCards
    arrDNSServers = Array("8.8.8.8", "8.8.4.4")
    objNetCard.SetDNSServerSearchOrder(arrDNSServers)
Next

Shell.Run "cmd /c ipconfig /flushdns",0,true

Set colNetCards = objWMIService.ExecQuery _
    ("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = True")

For Each objNetCard in colNetCards
    If Not IsNull(objNetCard.DNSServerSearchOrder) Then
        TmpStr = objNetCard.DNSServerSearchOrder(0)
    End If
Next

if TmpStr="8.8.8.8" then
    MsgBox "DNS Google activés" & vbcrlf & _
    "DNS PRIMARY : " & TmpStr & vbcrlf & _
    "Cliquer OK pour revenir aux DNS Orange", vbokonly
else
    MsgBox "DNS Google NON activés" & vbcrlf & _
    "DNS PRIMARY : " & TmpStr & vbcrlf & _
    "Script lancé en admin ?" , vbcritical + vbokonly
end if

For Each objNetCard in colNetCards
    arrDNSServers = Array("80.10.246.1", "80.10.246.3")
    objNetCard.SetDNSServerSearchOrder(arrDNSServers)
Next

Shell.Run "cmd /c ipconfig /flushdns",0,true

Set Shell = nothing
Set colNetCards = nothing

Le code ci-dessus est à enregistrer dans un fichier avec une extension .VBS et à lancer via un raccourci sur le bureau (à déclencher par clic droit “Exécuter en tant qu’administrateur” si nécessaire).

Je préfère ré-enregistrer les DNS Orange en fin de script plutôt que de les passer en DHCP afin de contourner le problème de reverse DNS (pas de noms renvoyés sur les traceroute) de la livebox.

Beaucoup d’abonnés Orange rêvent encore d’obtenir un débit potable sur certains sites, et particulièrement sur YouTube ou MegaUpload.

En effet, il ne faut pas espérer voir Rambo en 1080p ( :-) ) de manière fluide, à une heure décente, avec Orange, ce n’est pas moins de 20 secondes qu’il vous faudra pour obtenir les 2 premières secondes de la vidéo.

Orange semble tenter d’optimiser ses tuyaux, mais malheureusement sans aucune amélioration. Les désabonnements sont de plus en plus nombreux (ex : message #318) et le FAI ne communique toujours pas sur ce bridage (volontaire ou non, on peut se poser la question).

Personnellement, je pèse le pour et le contre de ce changement de FAI et je ne manquerai pas de vous tenir au courant.

The Extended Security Update Inventory Tool is used to detect security bulletins not covered by MBSA including MS04-028, February 2005 bulletins, and future security bulletins that are exceptions to MBSA.

Source et téléchargement : Download details: Extended Security Update Inventory Tool

Ce fichier d'image ISO DVD5 contient les mises à jour de sécurité pour Windows publiées sur Windows Update le 10 novembre 2009.

Source et téléchargement : Détails du téléchargement : Novembre 2009 - Image ISO de mise à jour de sécurité

SyncToy 2.1 is a free application that synchronizes files and folders between locations. Typical uses include sharing files, such as photos, with other computers and creating backup copies of files and folders.

Source : Download details: SyncToy 2.1

Download the New eBook: Deploying Windows® 7 Essential Guidance from the Windows 7 Resource Kit and Microsoft® TechNet Magazine. Looking for guidance specific to Windows 7 deployment? Check out what the industry's leading experts have to say in this free Microsoft Press eBook with selected chapters from the Windows 7 Resource Kit on Deployment Platforms, Planning, Testing Application Compatibility.

Download details: Deploying Windows® 7 Essential Guidance from the Windows 7 Resource Kit and TechNet Magazine

La principale raison pour laquelle je me suis abonné à Wanadoo Orange il y a bientôt 10 ans et pour laquelle j’y suis resté aussi longtemps est la qualité du réseau (juste après la présence d’une agence FT/Orange près de chez moi).

Seulement, depuis quelques semaines, mon internet “Orange inside” (international outside ?) est malmené par une filiale de France Telecom, grand (et surtout unique) fournisseur de bande passante (on dit aussi fournisseur de transit) pour Orange, j’ai nommé Open Transit. Et il en va ainsi pour beaucoup d’autres abonnés…

Comment ça fonctionne ?

Open Transit est le fournisseur de transit unique pour Orange/FT (fournisseur de contenu/FAI).
Cogent est un autre fournisseur de transit pour des fournisseurs de contenu (et ISP ?) US.
Ces deux fournisseurs de transit sont interconnectés via un accord de peering dans le but d'échanger leurs trafic internet.
Toute perturbation entre ces deux fournisseurs de transit se répercute mécaniquement sur leurs clients FAI et/ou fournisseur de contenu et donc sur leurs propres clients (par exemple les abonnés Orange).

Dans le cas qui nous préoccupe, c’est la route Orange <=> Open Transit <=> Cogent <=> Youtube/MegaUpload/etc.. qui nous intéresse.

Reprenons…

Alors que l’outil de test “made in Orange” DSLTest m’annonce fièrement et à juste titre + d’1 Mo/sec par tous les temps et à toute heure sur tous les PCs de la maison, c’est tous les soirs (et les soirs commencent très tôt chez Open Transit, surtout le Week-end !) que mon débit sur certains sites à l’étranger chute lamentablement, à en faire pleurer de rire un modem 56K.

Jugez donc vous même :

• Jean-Michel Jarre, comme d’autres vidéos Youtube, se traine lamentablement entre 15 et 20 Ko/sec et est, bien évidemment à ce débit, saccadée.
• MegaUpload m'offre royalement entre 25 et 30 Ko/sec...

Vous me direz : les sites sont saturés, y’a trop de monde, etc…

Hé bien non, au même moment chez 9, Free, SFR et d’autres, le débit est excellent sur Youtube et plus que correct sur Megaupload (au moins 10 fois supérieur). De même, DailyMotion, hébergé en France, fonctionne parfaitement… partout.

Alors que se passe t’il ?

Il m’a fallu pas mal de recherches et un peu de connaissances réseau pour comprendre.

Voilà le genre de mesure qui donne de gros indices (à faire aux heures de saturation, bien sûr !) :

C:\>tracert -d 209.222.128.146       (un des cache de video youtube)
Détermination de l'itinéraire vers 209.222.128.146 avec un maximum de 30 sauts.
  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2    32 ms     *       33 ms  86.215.255.1
  3    33 ms    32 ms    32 ms  10.125.86.74
  4    32 ms    33 ms    33 ms  193.253.89.105
  5    36 ms    59 ms    36 ms  81.253.129.30
  6    41 ms    41 ms    41 ms  193.252.100.226
  7    41 ms    41 ms    41 ms  193.251.129.82
  8   255 ms   223 ms   218 ms  130.117.15.129
  9   174 ms   172 ms   176 ms  130.117.1.73
10   168 ms   171 ms   181 ms  130.117.50.22
11   148 ms   148 ms   147 ms  154.54.2.5
12   126 ms   205 ms   213 ms  38.104.57.198
13   126 ms   125 ms   125 ms  209.222.128.146

Entre 193.251.129.82 (te3-1.lonse1.london.opentransit.net qui appartient donc à OpenTransit) et 130.117.15.129 (gi9-39.mpd01.lon01.atlas.cogentco.com qui appartient à Cogent, tous les deux à Londres), c’est un temps de réponse multiplié par 5 qui nous souffle que la connexion entre ces deux réseaux (le fameux “peering”, interconnexion entre les deux fournisseurs de transit) est saturée ou volontairement bridée.

Autre info importante, on s'aperçoit également que le problème existe DANS L'AUTRE SENS, c'est à dire de Cogent vers OpenTransit.

D'ailleurs, si on utilise l’outil "looking glass" de Cogent pour tracer Orange.fr (en gros, on lance un tracert depuis un routeur de Cogent vers une adresse au choix. Faire routeur Washington DC / traceroute / www.orange.fr), on voit bien le point d'engorgement sur le même lien de peering de Londres (entre 5 et 6) :

Tracing the route to www.orange.fr (193.252.122.103)

  1 fa0-8.na01.b005944-0.dca01.atlas.cogentco.com (66.250.56.189) 0 msec 0 msec 4 msec
  2 gi1-3.3807.ccr02.dca01.atlas.cogentco.com (66.28.6.189) 4 msec 0 msec 0 msec
  3 te8-4.ccr04.jfk02.atlas.cogentco.com (154.54.26.1) 8 msec
  4 te4-4.ccr02.jfk05.atlas.cogentco.com (154.54.7.10) 8 msec

  5 francetelecom.jfk05.atlas.cogentco.com (154.54.10.74) 28 msec 28 msec 32 msec
  6 pos0-9-0-0.auvtr1.Aubervilliers.opentransit.net (193.251.243.242) 128 msec 128 msec 128 msec

  7 tengige0-0-0-5.pastr1.Paris.opentransit.net (193.251.243.186) 116 msec 112 msec 112 msec
  8 gi9-0-0.passe2.Paris.opentransit.net (193.251.240.214) 112 msec 108 msec 112 msec
  9 po6-2.bagse1.Bagnolet.opentransit.net (193.251.241.118) 112 msec 112 msec 116 msec
10 wanadooportails.GW.opentransit.net (193.251.251.54) 112 msec 112 msec 112 msec
11 rtbg1fsbae01-v183.net.b1.fti.net (193.252.121.175) 108 msec *  108 msec

Edit: ce traceroute (au-dessus) est correct, merci à Gary pour la précision -dans les commentaires- : il faut compter 80 ms entre jfk et aubervilliers.

Quelques recherches plus tard, c’est un autre indice qui émerge sous la forme d’une info qui date d’Avril 2005 :

…abonnés Wanadoo qui se voient refuser l'accés à une partie non négligeable de sites en France et à l'étranger qui utilise le transit IP Cogent…

Il y a donc des antécédents de désaccords entre FT/OpenTransit et Cogent.

Evidemment, Orange ne communique pas sur cet engorgement et la hotline ne connait pas ce type de problème (que je devine absent de ses “arbres de résolution” d’incidents abonnés).

Mais le point essentiel qui vient confirmer la situation, c’est ce discret message du 25/10/2009 sur le forum de Da Linux French Page : “A tous les coups pour les sites qui rament tu passe par une interco Open Transit (Orange) / Cogent. Visiblement (d'après un gentil gars du support cogent), ils se tirent la bourre en ce moment pour renégocier des accords de peering.”

Alors Orange, quand est-ce que je vais récupérer un accès internet (pour lequel je paye un abonnement, faut il le préciser ?) de qualité ? Faudra t’il attendre que la situation se débloque ? Combien d’abonnés Orange va t’il accepter de perdre (et ça a déjà commencé) avant de remédier à la situation ?

Le forum Orange non officiel héberge une discussion sur le sujet…

Mise à jour : Orange : contourner le problème de débit avec Youtube

Le volume 7 du rapport Microsoft® sur les données de sécurité donne une perspective approfondie des logiciels malveillants et potentiellement indésirables, des codes malveillants visant l'exploitation logicielle, des violations de la sécurité et des vulnérabilités logicielles (dans les logiciels Microsoft comme dans ceux de tiers). Microsoft a mis au point ces perspectives basées sur l'analyse détaillée de ces dernières années, en mettant l'accent sur le premier semestre 2009.

Détails du téléchargement : Rapport Microsoft sur les données de sécurité - volume 7 (janvier à juin 2009)

Et voilà, MSE est disponible. Pour tous ceux qui n’aiment pas les usines à gaz…

Microsoft Security Essentials est disponible en téléchargement gratuit (WGA doit valider votre licence Windows) auprès de Microsoft. Il s'agit d'un composant simple à installer, facile à utiliser et toujours à jour pour que vous ayez la garantie que votre PC est protégé par les toutes dernières technologies. Vous pouvez facilement savoir si votre PC est sécurisé : lorsque le voyant est au vert, tout va bien. C'est aussi simple que cela.

Protection contre les virus, logiciels espions et logiciels malveillants | Microsoft Security Essentials

Une appli d’édition video gratuite ? De la concurrence à WLMM ? Va falloir voir ça de plus près !    :-)

Expression Encoder est une application avancée d'encodage audio/vidéo et de diffusion en direct, qui convient particulièrement à la génération de contenu tirant pleinement parti des puissantes fonctionnalités graphiques et interactives des scénarios de lecture Microsoft Silverlight. Vous pouvez également générer des fichiers audio et vidéo Windows Media optimisés pour d'autres scénarios de lecture Web ou destinés à être lus sur des périphériques portables.
Pour plus d'informations sur les autres nouveautés de cette version, voir Nouveautés d'Expression Encoder 3.
Remarque : cette version gratuite d'Expression Encoder 3 n'inclut pas la prise en charge de l'encodage H.264 et de la diffusion en contenu lisse IIS. Pour utiliser ces fonctionnalités, procédez à la mise à niveau vers Expression Encoder 3 avec diffusion en contenu lisse IIS.

Détails du téléchargement : Expression Encoder 3

A partir de demain, et pour des raisons de sécurité, tous les utilisateurs de Messenger 8.1 ou 8.5 seront obligés de mettre à jour leur vieille version de Messenger.

A partir de fin Octobre, ce sera au tour des utilisateurs de Messenger 14.0 (2009) de devoir mettre à jour leur version de Windows Live Messenger.

Si vous ne voulez pas être bloqué dans le embouteillages attendre, vous pouvez dès maintenant procéder à cette mise à jour.

Source : Upgrade your Windows Live Messenger Service - Windows Live

Si vous êtes en train de tester Windows 7 (à titre personnel ou pour votre société), vous vous posez certainement la question : “quel antivirus fonctionne avec Windows 7 ?”

Un certain nombre d’éditeurs tiers proposent aujourd’hui des versions spécifiques et en beta de leur antivirus :

La liste complète ici : Stanislas Quastana's blog on TechNet : Antivirus pour Windows 7 - mise à jour de la liste (3 septembre 2009)

Tout ce qui peut bien m’interpeller, mais qui ne sera pas toujours publié sur le blog, c’est là :

Jean-Marc (Doc_XP) on Twitter

Cette mise à jour de la fonctionnalité d’exécution automatique désactive la fonction d’autorun pour les supports USB sous Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008.

Je vous la recommande chaudement !

Source : Mise à jour pour la fonctionnalité exécution automatique dans Windows