|
Interviews |
|
Thierry Zucchi
|
directeur
technique |
Avanade
France
|
"La
sécurité d'un système d'information ne se résume pas aux
produits Microsoft" |
|
La sécurité d'Internet Information Server,
la menace que représenterait "Passport"...
Pas un jour ne s'écoule sans qu'un produit ou un
service de Microsoft ne soit pointé du doigt par
ses concurrents bien évidemment mais aussi par
un cabinet d'études comme Gartner
Group ou encore par les associations de défense
des libertés individuelles. Après avoir
rendu compte de ces attaques, JDNet Solutions donne aujourd'hui
la parole à l'accusé. Ou plutôt à
l'un de ces représentants indirects. Thierry Zucchi
est en effet directeur technique d'Avanade,
société née d'un joint venture entre
Accenture et Microsoft et spécialisée dans
l'intégration des infrastructures logicielles de
ce dernier. |
Propos recueillis par
Cyril Dhenin le 28 septembre
2001
. |
Dans
une note
récente publiée après la propagation
du ver Nimda, Gartner Group conseille aux entreprises
d'abandonner le serveur Web de Microsoft pour d'autres
produits. Quel regard portez-vous sur cette recommandation
?
Thierry Zucchi:
A mon sens, cet avis
est celui d'une personne qui a un point de vue partiel
de la problématique de sécurité et
qui a surtout écrit une note sans prendre le recul
nécessaire. La sécurité d'un système
d'information ne se résume pas à la sécurité
des produits Microsoft. Une architecture de sécurité,
c'est un ensemble de produits redondants et hétérogènes
car il serait franchement léger de faire confiance
par défaut à un seul produit ou à
seul éditeur, qu'il s'agisse de Microsoft ou d'un
autre.
Le serveur Web de Microsoft, Internet Information Server
(IIS), semble toutefois cumuler les trous de sécurité.
Et, dixit Gartner, cette fréquence des failles
augmente sensiblement le coût d'administration du
produit...
Franchement,
je ne partage pas cet avis. Microsoft a bien travaillé
sur l'industrialisation des processus de publication des
fichiers correctifs. Tous ceux qui sont inscrits sur les
listes de diffusion adéquates sont informés
aussitôt les failles connues et l'élaboration
des patchs est très réactive. Seul bémol,
cette réactivité est en effet bonne pour
les patches en version américaine mais un peu moins
pour les versions localisées. Un utilisateur peut
généralement appliquer des patches US sur
des versions françaises des produits mais dans
ce cas là le support n'est plus possible ensuite.
Toutefois,
la multiplication des patches pour IIS ne révèle-t-elle
pas un problème structurel dans le produit même
?
Je
ne pense pas. IIS est un serveur multi-threadé
et assez finement paramétrable. Son code est l'objet
d'un dispositif de sécurité au sein de Microsoft.
Peu de personnes y ont accès et il n'est pas diffusé.
Pour un produit de ce type, je pense que c'est important.
Autre produit, ou plutôt service de Microsoft, sous
les feux de l'actualité, Passport.
Vous avez vous-même travaillé sur son élaboration.
Que pensez-vous de la sécurité du dispositif
?
La
sécurité de Passport est celle des algorithmes
de chiffrement qu'il exploite. Bien sûr, il sera
toujours possible pour un organisme qui en a les moyens
d'intercepter un flux de données échangées
avec Passport pour tenter de le déchiffrer à
grand renforts de puissance de calcul. Bref, la menace
est très relative.
En
fait, les doutes sur Passport concernent plutôt
l'usage qui pourrait être fait des données
personnelles qu'il véhicule...
Sur ce sujet, je rappellerai
seulement l'existence de deux dispostifs que j'ai observés
sur place. Primo, il existe chez Microsoft un cloisonnement
strict entre l'entité qui développe le service
et celle qui l'opère. Secundo, les données
stockées sont chiffrées. Le système
est verrouillé à un point tel qu'en cas
de perte de votre mot de passe, l'administrateur ne peut
même pas vous le communiquer à nouveau. La
seule solution consiste à ouvrir un nouveau Passport.
A lire aussi sur le sujet:
Garner
Group sans pitié avec le serveur Web de Microsoft
Microsoft
prêt à industrialiser Passport
Zoom
sur Passport le système d'authentification de Microsoft
|
Thierry Zucchi a dix ans d'expérience dans
l'architecture des systèmes d'information et notamment
dans la sécurité. Avant de rejoindre Avanade,
il a travaillé pour Microsoft, en France mais aussi
au siège de l'éditeur à Redmond aux
Etats-Unis où il a contribué à l'élaboration
du Service Passport. Thierry Zucchi est diplômé
de l'Ecole Supérieure d'Electricité, en
réseaux et systèmes informatiques.
|
|
|
|
|
|