Le code source de Windows XP et de plusieurs autres anciens systèmes d’exploitation de Microsoft a fuité sur la toile. Plus de 43 Go de fichiers ont ainsi été publié sur différents forums sous forme de torrent. Un dossier contenant des vidéos étranges relatives à une théorie du complot sur Bill Gates fait également partie de cette collection. Microsoft a expliqué « enquêter en interne ».
Toujours gardé secret par Microsoft, le code source de Windows XP a fuité sur le Web avec d’autres systèmes comme Windows Server 2003, Windows 2000, Windows NT 4, Windows Embedded ou encore MS DOS 6.0. Une archive contenant plus de 43 Go de fichiers s’est ainsi retrouvée dans la nature. Interrogé par le site Thurrott face à cette fuite, Microsoft a simplement indiqué « enquêter sur la question », sans partager davantage d’informations.
D’après les informations, le code source aurait été partagé de manière privée par les pirates durant des années avant de se retrouver publiquement sur le Web la semaine dernière sous forme de torrent. Au vu du nombre de leechers, ce code semble intéresser de nombreux hackers et développeurs curieux. Nous n’allons bien entendu pas partager ici le lien vers ces fichiers illégaux.
Windows 10 est-il vulnérable suite à cette fuite ?
Cette question semble intriguer de nombreux utilisateurs qui s'inquiètent quant à la sécurité future de Windows 10 suite à cette fuite. Il est vrai qu'en parcourant le code source de Windows XP, les hackers peuvent détecter les failles du système plus facilement et, théoriquement, créer un virus les exploitant. Windows 10 ayant des parties de code communes, beaucoup en déduisent qu'un problème de sécurité semble imminent. Rassurez-vous, les risques sont tout de même assez limités :
- Si le code de Windows XP est déjà partagé de manière privée par les hackers depuis des années, on imagine qu’ils ont déjà eu le temps de bien faire le tour ;
- Windows XP est sorti il y a déjà près de 20 ans, et seuls certains bouts de code encore utilisés aujourd’hui sur Windows 10 peuvent être potentiellement vulnérables, à condition qu’ils contiennent des failles ;
- Windows 10 est beaucoup, beaucoup, plus sécurisé que Windows XP ;
- Les mises à jour de sécurité de Windows 10 publiées tous les mois colmatent régulièrement de nouvelles failles. C’est pour cette raison qu’il est important de garder son système à jour et d’utiliser un bon antivirus ;
- Android, basé sur Linux, est un système Open Source. Son code est donc public et il n’est pas pour autant une passoire.
Quant à la sécurité de Windows XP, rappelons tout de même que ce système n’est plus maintenu à jour depuis 2014 et il est donc potentiellement risqué de l’utiliser aujourd'hui. Notez tout de même que Microsoft avait publié une mise à jour exceptionnelle suite à l’apparition du virus Wannacry en 2017. Si un grave problème de sécurité est détecté, on imagine qu’ils réitèreront l’opération.
Une question sur Windows 10 ?
21 commentaires
Vous avez votre réponse !
("La plupart (peut-être toutes) des fuites ne contiennent que du code source partiel, donc pas tout le nécessaire pour pouvoir compiler et exécuter le programme.")
Rien que le code de DOS 3.0 est une mission à déchiffrer, alors un code aussi complexe que XP...
Et quand je lis que certains sont prêt à parcourir le code pour y dénicher les causes d'un bug, ça me fait bien rigoler... Un peu de modestie svp
Mais là pour un système aussi vaste et complexe que Windows, écrit par des dizaines de dév qui ont bossé en équipes, c'est un truc de fou. Au delà de ça il existe des outils et des méthodes pour trouver et comprendre les bouts de code source qui pourraient être intéressants à inspecter pour y trouver une faille mais les petits malins qui font ça sont pas nombreux, et la tâche n'est pas facile, donc au final les risques ne sont pas tellement plus grands je pense que les méthodes actuellement employées pour trouver des failles sous Windows 10 sans avoir les sources.
De mon point de vue et je crois que les standarts de l'Open Source sont assez claires, du code qui est mis à la disposition du monde doit être annoté, expliqué, et peut permettre une compilation complète par lui-même ou associé à d'autres systèmes.
Dans notre cas, on aura une version du code source Windows XP dont on ne connait pas l'origine, qui pourra être modifé de façon malveillante ou non, mais vu qu'il n'appartient pas à un repo officiel, bah ca va être la merde... Puis par la suite, si des OS basé sur windows XP sortent dans le monde de l'open source , on ne sera jamais d'ou proviennent les sources de base. (un Windows XP pour rasp par exemple ).
Bon bref, continuer à négocier avec Microsoft pour qu'il le fasse par lui-même était une bien meilleur idée !!!
***
The reason I'm sharing this torrent is because all information wants to be free.
Please help me seed / share this important torrent, so others won't have to go through the work that I did collecting all the leaks (that I currently know of), archiving / compressing everything properly, comparing duplicate archives against other copies to see if they're identical or not. It was all in all pretty hard work, but I think it's worth it.
This is my gift to Bill Gates, Steve Ballmer and Satya Nadella. I hope they'll like it.
"Embrace, extend and extinguish" is Microsoft's strategy in the past, the present and in the future. Right now, they're in the honeymoon phase with open source. Don't be fooled.
Let's spread this collection far and wide. Since Microsoft claims to love open source now, it's only fair that their source code is out in the open.
Don't be scared to share this. Just remember to set your BitTorrent client to require encryption when connecting to peers (if it doesn't already). And if you really want to feel safe from Microsoft's ninjas you can use a VPN.
SEED! The more peers seeding, and the bigger the torrent swarm, the more anonymous we'll all be.
PS: This torrent only contains leaked source code, or at least source code that's not easy and readily available, and not code that has officially been released as open source by Microsoft. You can find the official code over @ Microsoft's GitHub page.
After a discussion on 4chan (/g/) I decided to also download all Microsoft's patents. Anon provided a script, I modified it, and I've run it in the same directory a few times to verify that I got all the patents. That script is included in the 'script' directory.
***
En gros l'auteur veut visiblement lancer une "petite" pique afin que Microsoft de se prenne aux mots et se lance dans l'Open Source... Il a également placé un dossier "media" qui comporte des tas de vidéos sur les motivations de Bill Gates (ainsi qu'une chanson qui lui ai dédié), l'histoire de Linux et de Xbox. Il se pourrait que la personne ne soit pas trop microsoft-friendly x)
Ce leak est quand même assez important car en plus de divers versions de XP c'est carrément d'autres version de Windows NT, du DOS (osef il est déjà passé en open source), Xbox, windows research kernel, et malheureusement Windows 10 aussi (après le nom du dossier est "windows_10_shared_source_kit", donc il s'agit peut-être que d'un code source publique). Mais dans l'ensemble c'est quand même un gros leak, et même si XP date et que le reste du leak est vieux dans l'ensemble, il y a quand même pas mal de fuites sur des choses plus ou moins récent. A voir comment ça évolue et si ça aura vraiment un impacte sur le Windows 10 actuel. En attendant le leak est quand même assez impressionnant. Et puis ont sait jamais: si Microsoft peut l'utiliser pour faire quelque chose de bien avec l'open source pourquoi pas
A la place de Microsoft, j'oserais mettre tous les codes sources des versions qui ne sont plus commercialisées (voire en support étendu ?) sur Github.
Non pas pour en avoir honte, mais pour servir de repère dans l'éducation des programmeurs : A la fois ce qu'il ne faut pas faire, et ce qu'il faut faire !
Pour la postérité !
Included in this torrent:
* MS-DOS 3.30 OEM Adaptation Kit (source code)
* MS-DOS 6.0 (source code)
* DDKs / WDKs stretching from Win 3.11 to Windows 7 (source code)
* Windows NT 3.5 (source code)
* Windows NT 4 (source code)
* Windows 2000 (source code)
* Windows XP SP1 (source code)
* Windows Server 2003 (build 3790) (source code)
(file name is 'nt5src.7z')
* Windows CE 3.0 Platform Builder (source code)
* Windows CE 4.2 Shared Source (source code)
* Windows CE 5.0 Shared Source (source code)
* Windows CE 6.0 R3 Shared Source (source code)
* Windows Embedded Compact 7.0 Shared Source (source code)
* Windows Embedded Compact 2013 (CE 8.0) Shared Source (source code)
* Windows 10 Shared Source Kit (source code)
* Windows Research Kernel 1.2 (source code)
* Xbox Live (source code)
(most recent copyright notice in the code says 2009)
* Xbox OS (source code)
(both the "Barnabas" release from 2002, and the leak that happened in May 2020)
This collection consists of Microsoft source code that has been leaked online over the years. Copies of the leaks are floating around online, but are sometimes very hard to find. I found these leaks through various means. I used torrents, eMule, EiskaltDC++, and various search engines (incl. Google of course).
There might have been other leaks that I don't know about, and anyone is welcome to extend and improve this collection, and upload a new torrent. However, don't change the recipe. Use 7zip to compress everything (with no exception). This makes the torrent smaller, and minimizes waste of bandwidth and storage space. Make sure that the source code you're adding is actually genuine Microsoft code, and not code for something completely different, or modified by someone. Make sure you're not adding duplicates of source code that's already included. Don't remove anything from this collection, unless you find a more complete copy that has all the same files (same checksum) plus additional files.
I have not touched the source code files at all, as it's important to keep them in their original state. The only thing I've done is delete 'Thumbs.db' files, which are just useless Windows thumbnails.
Most (maybe all) of the leaks only contain partial source code, hence not everything necessary to be able to compile and run the program. Nevertheless, the code is still valuable and should be archived for future generations, and for everyone who is interested in reading it and learning from it. When it comes to Windows CE 4.2 and up, I installed the Shared Source from the original install media myself in Windows VMs (VirtualBox). I made sure to install the latest updates that have been officially made available by Microsoft. There are also various versions of the install media itself, of which some are more recent and updated and those are the ones I installed. If you're interested in Windows CE (or Compact Embedded as it's now called), a good place to get install images right now is [site illégal]
Going back to the source code leaks, there are multiple versions of each leak online, so I had to find a way to check which archives were identical (after extraction) and which weren't, and also which ones were more complete and untouched. I created a small Linux shell script to do this job, and I include the script in this torrent, since it might be helpful to others who do this kind of collecting and data hoarding.
I extracted all the archives I found, and compressed them with 7zip, since that's the compression algorithm that's the best. Some of the leaks were originally compressed multiple times (archives within archives) using different formats / algorithms in multi-volume archives. This is apparently a common practice in "the scene", but it's really quite stupid. When you re-compress something you will usually generate a larger file than the file you're trying to compress, and this is due to how compression algorithms work. They work by finding patterns in the input data, and if the input data is already compressed, those patterns have been obfuscated / scrambled so the algorithm really has nothing to work with. Data should always be compressed only one time. However, it's alright to put a TAR archive inside another (compressed) archive, since TAR archives aren't compressed at all, but are strictly used to turn many files into one file.
If you're going to extract an archive and compress the files using a different format, make sure to always use the official archiver tool for that format. There are different versions of each compression format, and they're always best supported by the official tools. So, always use the tools made by RARLAB to extract RAR archives, and always use '7-Zip' (made by Igor Pavlov) to extract 7zip archives. If you use Linux, there are also official command-line tools available. For older compression formats like Zip, there are many tools that can handle the format properly, including 'WinRAR', '7-Zip', and the 'zip' / 'unzip' commands in Linux.
***
The reason I'm sharing this torrent is because all information wants to be free.
Please help me seed / share this important torrent, so others won't have to go through the work that I did collecting all the leaks (that I currently know of), archiving / compressing everything properly, comparing duplicate archives against other copies to see if they're identical or not. It was all in all pretty hard work, but I think it's worth it.
This is my gift to Bill Gates, Steve Ballmer and Satya Nadella. I hope they'll like it.
"Embrace, extend and extinguish" is Microsoft's strategy in the past, the present and in the future. Right now, they're in the honeymoon phase with open source. Don't be fooled.
Let's spread this collection far and wide. Since Microsoft claims to love open source now, it's only fair that their source code is out in the open.
Don't be scared to share this. Just remember to set your BitTorrent client to require encryption when connecting to peers (if it doesn't already). And if you really want to feel safe from Microsoft's ninjas you can use a VPN.
SEED! The more peers seeding, and the bigger the torrent swarm, the more anonymous we'll all be.
PS: This torrent only contains leaked source code, or at least source code that's not easy and readily available, and not code that has officially been released as open source by Microsoft. You can find the official code over @ Microsoft's GitHub page.
After a discussion on 4chan (/g/) I decided to also download all Microsoft's patents. Anon provided a script, I modified it, and I've run it in the same directory a few times to verify that I got all the patents. That script is included in the 'script' directory.
Edit : Archive WinSrc, DL complet... Au boulot !
Edit2 : Bon le gars il est bien complotiste en attendant... Vous pouvez supprimer toute la littérature et l'entertainment annexe. Inutile !
PS de l'Edit3 pour Hallypaps_Rufus : Non, je fais toujours des repas complets. Tu dois me confondre avec quelqu'un d'autre
Pour en revenir au propos de base de l'article, et a contrario de celui-ci, il est à craindre que de nombreuses portions de codes des Windows actuels, de Windows 10 à Windows Server, ne soient que la recopie du code qui a leaké, ou au mieux en soient *très* inspirées. Un régal pour qui veut chercher des 0-days.
De mémoire, un chercheur du Projet Zero de chez Google avait utilisé cette méthode (explorer le code mais à partir du binaire de XP ou 2K en le décompilant) pour trouver une faille dans Win7 ou Win10 qui n'était que la réapparition de cette faille, mais faille qui ne s'exprimait pas à l'époque car les données manipulées ne permettaient pas l'erreur. Si quelqu'un retrouve cet article, merci.
Je ne suis pas d'accord avec l'auteur, réponses point par point :
-> Si le code de Windows XP est déjà partagé de manière privée par les hackers depuis des années, on imagine qu’ils ont déjà eu le temps de bien faire le tour : Déjà, il est partagé au delà des hackers (gouvernements, universités, etc.) et ce depuis le début, ce qui n'a pas empêché toutes les découvertes successives d'erreurs et la productions de correctifs et de Service Packs. Donc dire qu'on a déjà eu le temps d'en faire le tour n'est pas un argument valable.
-> Windows XP est sorti il y a déjà près de 20 ans, et seuls certains bouts de code encore utilisés aujourd’hui sur Windows 10 peuvent être potentiellement vulnérables, à condition qu’ils contiennent des failles : cf mon propos ci-dessus, et à titre personnel, je pense que cette assertion est très discutable. Mais personne chez Microsoft ne se risquera à avouer la proportion de code hérité dans Windows 10. Nous pourrions avoir des sueurs froides en le lisant.
-> Windows 10 est beaucoup, beaucoup, plus sécurisé que Windows XP : Certes, on progresse, mais j'aimerais avoir une référence sourcée justifiant ce propos. Je pense que les surfaces d'attaques issues du code XP sont peu ou prou toutes bouchées, mais le nouveau code produit de facto de nouvelles surfaces potentielles d'attaque. L'oublier est dangereux.
-> Les mises à jour de sécurité de Windows 10 publiées tous les mois colmatent régulièrement de nouvelles failles. C’est pour cette raison qu’il est important de garder son système à jour et d’utiliser un bon antivirus : Un antivirus ne fait pas tout, loin de là. La protection de la connectivité réseau est aussi importante (firewall etc.) mais aussi une protection anti malware et surtout la formation de la faille la plus importante, qui est l'ICC "l'Interface Chaise/Clavier". Pour citer un film bien connu, "Ce n'est pas la stratégie qui m'inquiète, c'est le stratège".
-> Android, basé sur Linux, est un système Open Source. Son code est donc public et il n’est pas pour autant une passoire : Cette affirmation est plus que discutable, vu le nombre de vulnérabilités découvertes régulièrement sur Linux lui-même ou autour. Le code Open ne garantit qu'une seule chose, le fait de pouvoir regarder dedans. Il faut aussi le vouloir, avoir les moyens et la compétence pour le faire réellement, et avoir la capacité à en comprendre les failles ou la connaissance pour les exploiter.
Un exemple, même si ce n'est pas Linux en lui-même, la faille "HartBleed" est resté sous le nez de tout le monde pendant longtemps. Et pourtant, si il y avait bien une faille critique dans OpenSSL, c'était celle-là. Je m'était amusé pendant quelques minutes à "sniffer" les serveurs de paiement d'une grande banque mutualiste de l'est français (pour ne pas la nommer) qui prétendait ne pas être touchée alors que ses serveurs étaient vulnérables. J'arrivais à récupérer des informations plus que gênantes. Donc, non, je ne suis pas d'accord.
Plus que le nombre de vulnérabilités, c'est leur degré de criticité et le temps mis pour les réparer qui compte.
Le Département de la Défense US juge que les logiciels open source ne sont pas plus risqués que les logiciels à code fermé : https://dodcio.defense.gov/Open-Source-Software-FAQ/#Q:_Does_the_DoD_use_OSS_for_security_functions.3F
Mais j'approuve, hélas.