Business
Microsoft (re)découvre la sécurité.
Par Jerome Saiz, le 16 jan 2002 à 18:50:00.
Dans un email envoyé à ses troupes, Bill Gates semble découvrir l'importance de privilégier la sécurité et la fiabilité au détriment de toujours plus de fonctionnalités dans les produits. Une constatation qui va dans le bon sens. Tout comme la volée de promesses du même type, toujours sans suite, déjà faites par l'éditeur ces dernières années.
La sécurité fait couler beaucoup d'encre chez Microsoft. L'an dernier, l'éditeur a ainsi déjà déclaré la "guerre aux codes malicieux" avec le Windows Secure Initiative(avril 2001), puis lancé le Strategic Technology Protection Program (voir notre brève du mois de novembre dernier), censé sécuriser les produits existants et rendre plus sûrs ceux de demain. Aujourd'hui, un email interne envoyé par Bill Gates lui-même à ses troupes annonce le lancement d'une nouvelle initiative, le "Trustworthy Computing".
Dans son allocution, le fondateur de Microsoft exhorte ses employés à désormais toujours choisir la sécurité face à plus de fonctionnalités. Selon Bill Gates, les utilisateurs n'adhèreront pas à la future architecture .Net s'ils n'ont pas confiance en la capacité de Microsoft à garantir la sécurité et la fiabilité des services de la plateforme. Cela devient ainsi, selon Bill Gates, la plus haute priorité de l'éditeur.
Cela reste toutefois à voir, tant l'histoire contredit systématiquement les tentatives de Microsoft pour offrir sécurité et fiabilité.
Sans avoir a remonter trop loin, prenons l'exemple de .Net, le projet phare de Microsoft. Parmi les composants essentiels de cette plateforme très ambitieuse se trouvent Windows XP, le service Passeport, Internet Explorer 6, le serveur web IIS et l'infrastructure réseau de l'éditeur. Chacun de ces éléments, sans exception, a été victime de plusieurs failles de sécurité extrêmement graves et souvent idiotes ces six derniers mois.
- Windows XP devait être le système d'exploitation le plus sûr jamais créé par Microsoft (son premier "vrai" OS, de l'aveux même de l'éditeur). Quelques jours à peine après sa sortie, un correctif de 10 mégaoctets était nécessaire, dont la moitié concernait la sécurité. Plus récemment, une faille critique dans le service Universal Plug and Play était découverte, rendant le système potentiellement accessible à quiconque à travers Internet.
- Passeport devait être un service sécurisé, capable de conserver les données confidentielles des utilisateurs (dont leur numéro de carte bancaire), afin de faciliter leur authentification sur les services de .Net. Une faille gigantesque était découverte au mois de novembre dernier, permettant à quiconque d'accéder à ces informations. Cela aurait pris trente minutes à peine au chercheur à l'origine de la découverte pour compromettre Passeport.
- Internet Explorer 6 est le navigateur incontournable de Microsoft, vecteur quasi-obligatoire pour utiliser les services .Net. Le nombre de failles gravissimes découvertes sur Internet Explorer est trop important pour les citer ici. La dernière en date permet à n'importe quel site web d'exécuter n'importe quel programme sur le PC de l'internaute (voir notre brève).
- IIS, le serveur web de Microsoft est l'élément central de publication de l'information. Là aussi, il est régulièrement mis à mal par des failles de sécurité gravissimes. Les dernières grandes épidémies (Code Red ou Nimda, par exemple) exploitaient toutes des failles d'IIS, à tel point que le Gartner Group a recommandé aux entreprises de ne pas utiliser ce serveur web dans leurs projets Internet.
- L'architecture réseau, enfin, est le nerf des services .Net. La semaine dernière, le service de mise à jour de Windows était inaccessible durant cinq jours en raison d'un problème technique sur le réseau. Microsoft n'avait prévu aucune solution de secours, de serveurs de backup ou de connexion alternative pour pallier à une panne d'un service aussi critique que le Windows Update. Plus tôt cette année, des pans entiers des services Web de Microsoft tombaient lors de la défaillance d'un équipement réseau (DNS ou routeur). Cette fois-ci, des solutions de secours existaient bien, mais elles étaient toutes sur la même branche du réseau, et donc inutilisables. Une erreur, selon certain, qu'un étudiant en seconde année d'école d'ingénieur ne ferait pas.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
