En savoir plus

Microsoft avance à pas de loup sur le marché des antivirus

Bernard Ourghanlian. Cela a commencé il y a trois ans. Microsoft a réellement pris conscience de l'intérêt de la sécurité après le 18 septembre 2001, date à laquelle Nimda a fait les ravages qu'on a connu sur Internet. Ce virus a servi de rappel à l'ordre. Le changement de culture s'est opéré début 2002, avec un objectif clair transmis dans un mail collectif aux employés de Microsoft de placer la sécurité au cœur de nos produits. Jusqu'à présent, la sécurité des produits se posait a posteriori, une fois les développements achevés.

Quels sont les grands axes de votre politique de sécurité ?
Concrètement, début 2002, nous avons arrêté nos développements en cours pour former nos collaborateurs à programmer des logiciels sécurisés. Parallèlement, les développements suivent depuis cette date une méthodologie sécurisée appelée SDL (Security Development Lifecycle). Par exemple, pour chaque composant on effectue l'inventaire des menaces qui pourraient l'affecter. Cette modélisation accompagne le composant tout au long de sa durée de vie, du début du développement jusqu'à sa mise en production.

Avant la sortie d'un nouveau produit, nous intégrons sur la première béta, une étape de Security Push se focalisant uniquement sur les aspects sécurité. Enfin, un audit interne croisé [NDLR : des équipes de SQL server se penchent sur des produits Windows par exemple] et externe du code précède la sortie du produit. Tant qu'il reste un bug majeur de sécurité, le composant ne peut pas sortir.

Le deuxième élément de notre politique de sécurité consiste à paramétrer par défaut un haut niveau de sécurité. Le troisième axe consiste à justifier systématiquement les privilèges nécessaires au fonctionnement d'une application et à minimiser la surface d'attaque de nos logiciels. Par exemple, pour reprendre le cas de Nimda, il s'appuyait sur une vulnérabilité de notre serveur Web IIS, activé par défaut sur Windows 2000. Désormais, le lancement d'IIS ne se produit que si l'administrateur l'a volontairement et explicitement décidé.

Demain, Update Services automatisera le déploiement de correctifs."

Enfin, la dernière étape majeure de notre stratégie de sécurité s'inscrit dans le déploiement de correctifs. Aujourd'hui, on peut trouver des mises à jour sur plusieurs sites comme Windows Update ou Office Update. Nous évoluerons bientôt vers un site unique appelé Microsoft Update. Pour les entreprises, le déploiement des mises à jour de sécurité se fera avec Update Services. A terme, ce logiciel gratuit offrira aux entreprises la possibilité de télécharger toutes les mises à jour de Microsoft Update, de les centraliser sur une seule machine qui automatisera le déploiement des correctifs qu'ils auront choisis.

Quel bilan faites-vous de la sécurité informatique en 2004 ?
Le panorama des menaces a évolué de manière considérable ces dernières années. Sur l'ensemble de l'année, il faut remonter à Sasser pour recenser le dernier gros problème. Pour autant, davantage de virus sont en circulation mais leur impact en terme de machines infectées est moins important. Par contre, d'autres phénomènes nous inquiètent, notamment celui des PC zombies. Nous travaillons à développer un logiciel repérant ces réseaux d'ordinateurs infectés.

A l'heure actuelle, une analyse effectuée à partir des premières versions de ce logiciel nous indique que la taille moyenne de ces réseaux se situe entre 3000 et 10000 machines. Le plus gros réseau que nous ayons découvert atteint 140 000 machines. Cela représente une puissance d'attaques phénoménale que des mafias utilisent pour relayer du spam, faire de l'extorsion de fonds ou du chantage notamment.

La difficulté que posent ces botnets est double : d'une part, leur auteur peut envoyer à distance des mises à jour sur les machines infectées en fonction de la nature de sa prochaine attaque, et d'autre part, la machine maître étant déconnectée de l'Internet jusqu'au passage à l'acte, il est impossible de bloquer l'origine de l'attaque. Nous envisageons par conséquent de rendre disponible ce logiciel de détection des PC zombies à la police. D'une manière générale, l'assainissement du réseau ne pourra se faire qu'au travers d'une collaboration renforcée avec les services de sécurité publics.

Nous aidons les écoles à former des développeurs capables de réaliser du code sécurisé."

L'Etat doit-il s'impliquer davantage en la matière ?
Lorsque l'on recrute un étudiant tout droit sortie de l'université à l'heure actuelle, il y a peu de chance qu'il soit habitué à programmer des logiciels sécurisés. Nous sommes donc en train d'aider les écoles à former sur cette thématique en proposant des sujets préparés. Bien sûr, le processus sera long à changer en raison des habitudes mais l'objectif est de faire en sorte que les écoles inscrivent la sécurité à leur programme. Je ne pense pas d'ailleurs que la France soit en retard à ce niveau, tous les pays en sont au même niveau.

Mais les réglementations sont importantes. Le spam existe parce qu'il rapporte et que ses auteurs ne s'exposent pas à des peines très lourdes. Nous nous trouvons confronté à la nécessité d'avoir un cadre juridique fort pour lutter contre des activités devenues criminelles. Cependant, il est nécessaire de trouver un juste milieu entre protection des libertés du citoyen et sécurité du réseau.

La rétro-compatibilité assurée sur vos produits vous handicape-t-elle dans votre stratégie de sécurité ?
En partie seulement. En prenant l'exemple du Service Pack 2 de Windows XP, le pare-feu activé par défaut, la désactivation des pops-ups a bloqué un certain nombre d'applications. Nous en avions conscience et pourtant nous l'avons fait. Dès lors qu'il s'agit de la sécurité, nous ne pouvons pas accepter le moindre compromis.

Comment comptez-vous sensibiliser les entreprises à l'intérêt du SP2 de Windows XP ?
La plupart des entreprises y sont sensibles. Mais d'ordinaire, un service pack n'a pas autant d'impact. Il faut donc laisser le temps aux entreprises de tester les impacts du SP2, ce qui est d'ores et déjà pris en compte puisque le SP2 est supporté pendant 2 ans après sa sortie. De la même manière, nous allons allonger la durée du support du SP1 de Windows Server 2003. Sur les postes de travail, le SP2 représente le dernier rempart de sécurité, à l'image du donjon dans un château fort. Son niveau de sécurité par défaut intéresse les entreprises qui dispose de plus de temps devant elles pour déployer régulièrement les mises à jour.

Nous allons mener, en partenariat avec les CCI, des séminaires sur la sécurité auprès des PME."

Quel état des lieux dressez-vous de la sécurité informatique dans les PME...
Il faut favoriser la prise de conscience des risques encourus. C'est un sujet sur lequel nous avons travaillé avec le Medef en contribuant à un livre blanc sur la sécurité des systèmes d'information. Par ailleurs, nous allons mener en partenariat avec différentes Chambres de Commerce et de l'Industrie, des séminaires évoquant la sécurité dans les PME. Toutefois, il faut bien se rendre compte que les patrons de PME vivent dans le risque, avec des problèmes à résoudre comme : comment payer mes salariés à la fin du mois ? Il convient dès lors de trouver un juste équilibre à la sécurité dans ces organisations.

Le souci majeur des PME/PMI vient du manque de compétences informatiques. La seule façon de les aider nécessite de leur proposer des offres de services mais ce n'est pas le rôle de Microsoft, plutôt celui de société de services comme Cap Gemini ou Unisys. Or, en ce moment ces offres de services n'existent pas sur le marché ou à des coûts trop élevés pour des petites structures. Parallèlement, l'offre doit s'appuyer sur un triptyque technologie, processus et ressources humaines et non uniquement sur la technique. La sécurité ne peut se faire qu'avec les gens et non contre eux.

… et dans les grands comptes français ?
L'état des lieux des grands comptes serait très difficile à dresser car les situations peuvent être très différentes, notamment selon les secteurs. Traditionnellement, les banques y sont plus au fait que les autres. L'organisation même de la sécurité demeure très variable. Nous allons trouver un RSSI rattaché à la DSI, d'autres à la direction financière, d'autres encore à la direction générale. Pour certains, le RSSI gère tous les risques de l'entreprise et pour d'autres, il se cantonne aux risques informatiques.

La sécurité est une chaîne qu'il faut superviser dans son ensemble."

Ces modèles reflètent la diversité des cultures d'entreprise. Elle montre aussi les conflits d'intérêts qui peuvent surgir entre RSSI et DSI. Quel arbitrage faire entre performances et sécurité ? Les lois telles la LCEN ou Sarbanes Oxley encouragent parfois les entreprises à déléguer la responsabilité de la sécurité aux RSSI. Dans ce cas, le RSSI n'acceptera ces responsabilités que si on lui donne le pouvoir et les moyens de le faire. En conséquence, cela durcit les relations entre les deux protagonistes, DSI et RSSI. Et je ne crois pas aux modèles décentralisés avec un responsable sécurité par activité de l'entreprise. La sécurité c'est une chaîne et si un de ses maillons se révèle déficient, cela aura des conséquences sur l'ensemble. Il faut donc superviser l'ensemble.

Comment conjuguer mobilité et sécurité du système d'information ?
Lorsqu'une entreprise met en place des services de mobilité, cela signifie que son périmètre de sécurité n'existe plus. Les systèmes de sécurité traditionnel ne peuvent pas suffire. Elle doit dès lors résoudre deux problèmes principaux.

Le premier concerne les connexions à distance au réseau de l'entreprise. Chez Microsoft, nous avons mis en place un système d'authentification forte, chaque employé mobile recevant une carte à puce. Puis nous utilisons un système de quarantaine réseau contrôlant l'état de santé du poste, de façon à forcer les gens à mettre à jour leurs postes, avant de leur accorder leur connexion VPN.

Par contre cette stratégie ne marche que pour les connexions établies en dehors de l'entreprise à travers le poste mobile. Sur ce thème, un projet, baptisé NAP pour Network Access Protection, est en cours et devrait aboutir d'ici 2007. Le but de NAP serait de pouvoir vérifier la santé des postes quel que soit l'endroit où l'employé se trouve. Cela s'appuie sur des mécanismes IPSec autorisant une politique dynamique de sécurité. Si le poste ne se trouve pas à jour, alors nous l'orientons vers un serveur spécifique et une fois nettoyé et à jour, le poste peut de nouveau se connecter à condition que la politique de sécurité n'ait pas changé.

L'inconvénient du protocole DHCP vient du fait que l'entreprise doit définir une durée de bail. Or bien souvent le bail se monte à plusieurs jours. Si la politique de sécurité change entre temps, le bail reste valide. Au contraire IPSec supprime tout PC intrus et crypte également les communications, rendant ainsi inutile l'écoute du réseau.

Ce n'est un secret pour personne, nous allons rentrer sur le marché de la sécurité."

Qu'attendre de NGSCB (ex-Paladium) ...
NGSCB va arriver en deux phases. La première sera intégrée dans Longhorn et touchera directement le Bios. L'enjeu revient à assurer un boot sécurisé à travers une clé préalablement choisie par l'utilisateur. Le disque dur, crypté par défaut, ne sera accessible qu'après cette phase d'authentification. La deuxième étape qui devrait apparaître à peu près en même temps que Longhorn sera l'hyperviseur. Il s'agit d'héberger des machines virtuelles au dessus de cet hyperviseur, lui-même protégé par le matériel.

Concrètement, un mode d'exécution dit de confiance sera présent dans les puces d'Intel et d'AMD. A travers celui-ci, l'utilisateur s'assure que la mémoire se trouve cloisonnée par le matériel et que les pages vues à travers l'environnement virtuel A, ne seront pas lisibles par l'environnement B. NGSCB s'inscrit donc davantage dans une optique de protection de la confidentialité des données que l'inverse.

... Et du positionnement futur de Microsoft sur le marché de la sécurité ?
Les choses sont assez simples. Je pense que ce n'est plus un secret pour personne, nous allons rentrer sur ce marché. Pour prendre le cas de l'antispyware, nous proposons actuellement une version béta gratuite simple, sans fonction d'administration avancée. La version entreprise sera payante. En matière d'antivirus, la plupart des solutions sont payantes aujourd'hui. Nous allons donc respecter la concurrence en sortant une version également payante. Nous nous positionnerons comme un acteur parmi tant d'autres.

En savoir plus

Microsoft avance à pas de loup sur le marché des antivirus

Nous continuons de travailler avec les spécialistes du matériel comme Intel et AMD sur des sujets tels que la virtualisation, NGSCB ou les jeux d'instructions 64 bits. Nous avons tout intérêt à ce que ces technologies soient les plus communes possibles. Par ailleurs, actuellement il est impossible de protéger du logiciel par du logiciel. Ce n'est pas spécifique à Windows. Avec la technologie NX, apparue l'année dernière, AMD et Intel se propose de résoudre quelques petits problèmes, liés aux buffers overflows, mais ce n'est qu'une première étape modeste.