Microsoft a présenté Tiles dans le menu Démarrer de Windows et la page de démarrage lors du lancement du système d'exploitation Windows 8. Conçue pour ajouter une note dynamique à l'ancien programme, aux services et aux liens de sites Web auparavant statiques en prenant en charge des options permettant de charger régulièrement le nouveau contenu de mosaïques, cette fonctionnalité n'avait jamais été largement adoptée par les utilisateurs de Windows.
Nombre d'entre eux n'ont été exposés qu'à la liste par défaut de mosaïques que Microsoft a ajoutée aux profils de démarrage. Cela n’empêche pas Microsoft d’ajouter la prise en charge de Live Tiles à Windows 10. Les sites Web et les services peuvent également prendre en charge cette fonctionnalité, de sorte que les utilisateurs qui les ont épinglés sur Start reçoivent des vignettes mises à jour dès qu'un nouveau contenu est disponible. Bien que les mosaïques soient en voie de disparition, elles sont toujours prises en charge dans toutes les versions récentes de Windows.
Un article sur le site informatique allemand Golem (en anglais) décrit comment Golem a mis la main sur un domaine responsable de la livraison de contenu Tile aux systèmes Windows, car Microsoft n’a pas réussi à se protéger correctement contre ce que l’on appelle une attaque de prise de contrôle de sous-domaine.
La prise de contrôle donnait à Golem un contrôle total sur le contenu fourni aux systèmes utilisateur. Les utilisateurs de Windows 8 et 10 peuvent épingler les sites Web de support sur Démarrer pour recevoir les mises à jour lorsqu'un nouveau contenu est publié.
Golem a noté que des sites comme Engadget, Mail.ru ou les principaux sites d'informations allemands Heise ou Giga, prenaient en charge les tuiles comme beaucoup d'autres.
Comment l'attaque a été menée
L'hôte responsable de la livraison des données aux périphériques Windows était notifications.buildmypinnedsite.com; Microsoft semble avoir abandonné le domaine et, s'il l'a redirigé vers un sous-domaine d'Azure, ne l'a jamais enregistré avec Azure. Golem a réussi à enregistrer le sous-domaine à l'aide d'un compte Azure standard et à ajouter les noms d'hôte correspondants pour prendre le contrôle total du service de mosaïques utilisé pour fournir le contenu aux terminaux des utilisateurs.
Le magazine a contacté Microsoft à propos du problème mais n'a pas reçu de réponse selon l'article. Il a noté que l'hôte recevait un "volume de trafic décent" et que Golem ne l'enregistrerait pas en permanence en raison de coûts d'exploitation.
Golem a arrêté l'application Web entre-temps, il renvoie maintenant une erreur 403 indiquant que cette application Web est arrêtée, de sorte que le contenu manipulé ne peut pas être transmis aux périphériques utilisateur à ce moment-là.
Les utilisateurs Windows peuvent souhaiter désactiver les vignettes dynamiques de site Web (voir ce tutoriel pour les vignettes dynamiques de Windows 8) s'ils en utilisent une en conséquence, et les propriétaires de sites Web peuvent également vouloir supprimer le support de cette fonctionnalité pour se protéger des abus éventuels.
Mots de clôture
Je n'ai jamais beaucoup pensé à Live Tiles sur les versions de bureau de Windows. Bien que certaines fonctionnalités aient été appréciées, comme l’obtention d’un rapport météo actualisé en ouvrant Start, la plupart des fonctionnalités n’ont pas beaucoup de sens sur le bureau, à mon avis.
Un tel scénario ne devrait jamais se produire à mon avis, surtout s'il risque de nuire aux clients.
Now You : Quelle est votre opinion sur les tuiles dynamiques ou les tuiles dynamiques en général?
