JDN
Solutions. A quand remonte la prise de conscience des
problématiques de sécurité chez Microsoft ?
Bernard Ourghanlian. Cela a commencé il y a
trois ans. Microsoft a réellement pris conscience de
l'intérêt de la sécurité après le 18 septembre 2001,
date à laquelle Nimda a fait les ravages qu'on a connu
sur Internet. Ce virus a servi de rappel à l'ordre.
Le changement de culture s'est opéré début 2002, avec
un objectif clair transmis dans un mail collectif aux
employés de Microsoft de placer la sécurité au cur
de nos produits. Jusqu'à présent, la sécurité des produits
se posait a posteriori, une fois les développements
achevés.
Quels sont les grands axes
de votre politique de sécurité ?
Concrètement, début 2002, nous avons arrêté nos développements
en cours pour former nos collaborateurs à programmer
des logiciels sécurisés. Parallèlement, les développements
suivent depuis cette date une méthodologie
sécurisée appelée SDL (Security Development Lifecycle).
Par exemple, pour chaque composant on effectue l'inventaire
des menaces qui pourraient l'affecter. Cette modélisation
accompagne le composant tout au long de sa durée de
vie, du début du développement jusqu'à sa mise en production.
Avant
la sortie d'un nouveau produit, nous intégrons sur la
première béta, une étape de Security Push se focalisant
uniquement sur les aspects sécurité. Enfin, un audit
interne croisé [NDLR : des équipes de SQL server se
penchent sur des produits Windows par exemple] et externe
du code précède la sortie du produit. Tant qu'il reste
un bug majeur de sécurité, le composant ne peut pas
sortir.
Le deuxième élément de notre politique de sécurité
consiste à paramétrer par défaut un haut niveau de sécurité.
Le troisième axe consiste à justifier systématiquement
les privilèges nécessaires au fonctionnement d'une application
et à minimiser la surface d'attaque de nos logiciels.
Par exemple, pour reprendre le cas de Nimda, il s'appuyait
sur une vulnérabilité de notre serveur Web IIS, activé
par défaut sur Windows 2000. Désormais, le lancement
d'IIS ne se produit que si l'administrateur l'a volontairement
et explicitement décidé.
|
|
Demain,
Update Services automatisera le déploiement
de correctifs." |
|
Enfin, la dernière étape majeure de notre stratégie
de sécurité s'inscrit dans le déploiement de correctifs.
Aujourd'hui, on peut trouver des mises à jour sur plusieurs
sites comme Windows Update ou Office Update. Nous évoluerons
bientôt vers un site unique appelé Microsoft Update.
Pour les entreprises, le déploiement des mises à jour
de sécurité se fera avec Update Services. A terme, ce
logiciel gratuit offrira aux entreprises la possibilité
de télécharger toutes les mises à jour de Microsoft
Update, de les centraliser sur une seule machine qui
automatisera le déploiement des correctifs qu'ils auront
choisis.
Quel bilan faites-vous de
la sécurité informatique en 2004 ?
Le panorama des menaces a évolué de manière considérable
ces dernières années. Sur l'ensemble de l'année, il
faut remonter à Sasser pour recenser le dernier gros
problème. Pour autant, davantage de virus sont en circulation
mais leur impact en terme de machines infectées est moins
important. Par contre, d'autres phénomènes nous inquiètent,
notamment celui des PC zombies. Nous travaillons à développer
un logiciel repérant ces réseaux d'ordinateurs infectés.
A l'heure actuelle, une analyse effectuée à partir
des premières versions de ce logiciel nous indique que
la taille moyenne de ces réseaux se situe entre 3000
et 10000 machines. Le plus gros réseau que nous ayons
découvert atteint 140 000 machines. Cela représente
une puissance d'attaques phénoménale que des mafias
utilisent pour relayer du spam, faire de l'extorsion
de fonds ou du chantage notamment.
La difficulté que posent ces botnets est double : d'une
part, leur auteur peut envoyer à distance des mises
à jour sur les machines infectées en fonction de la
nature de sa prochaine attaque, et d'autre part, la
machine maître étant déconnectée de l'Internet jusqu'au
passage à l'acte, il est impossible de bloquer l'origine
de l'attaque. Nous envisageons par conséquent de rendre
disponible ce logiciel de détection des PC zombies à
la police. D'une manière générale, l'assainissement
du réseau ne pourra se faire qu'au travers d'une collaboration
renforcée avec les services de sécurité publics.
|
|
Nous
aidons les écoles à former des
développeurs capables de réaliser
du code sécurisé." |
|
L'Etat doit-il s'impliquer
davantage en la matière ?
Lorsque l'on recrute un étudiant tout droit sortie de
l'université à l'heure actuelle, il y a peu de chance
qu'il soit habitué à programmer des logiciels sécurisés.
Nous sommes donc en train d'aider les écoles à former
sur cette thématique en proposant des sujets préparés.
Bien sûr, le processus sera long à changer en raison
des habitudes mais l'objectif est de faire en sorte
que les écoles inscrivent la sécurité à leur programme.
Je ne pense pas d'ailleurs que la France soit en retard
à ce niveau, tous les pays en sont au même niveau.
Mais les réglementations sont importantes. Le spam
existe parce qu'il rapporte et que ses auteurs ne s'exposent
pas à des peines très lourdes. Nous nous trouvons confronté
à la nécessité d'avoir un cadre juridique fort pour
lutter contre des activités devenues criminelles. Cependant,
il est nécessaire de trouver un juste milieu entre protection
des libertés du citoyen et sécurité du réseau.
La rétro-compatibilité assurée
sur vos produits vous handicape-t-elle dans votre stratégie
de sécurité ?
En partie seulement. En prenant l'exemple du Service
Pack 2 de Windows XP, le pare-feu activé par défaut,
la désactivation des pops-ups a bloqué un certain
nombre d'applications. Nous en avions conscience et
pourtant nous l'avons fait. Dès lors qu'il s'agit de
la sécurité, nous ne pouvons pas accepter le moindre
compromis.
Comment comptez-vous sensibiliser
les entreprises à l'intérêt du SP2 de Windows XP ?
La plupart des entreprises y sont sensibles. Mais d'ordinaire,
un service pack n'a pas autant d'impact. Il faut donc
laisser le temps aux entreprises de tester les impacts
du SP2, ce qui est d'ores et déjà pris en compte puisque
le SP2 est supporté pendant 2 ans après sa sortie. De
la même manière, nous allons allonger la durée du support
du SP1 de Windows Server 2003. Sur les postes de travail,
le SP2 représente le dernier rempart de sécurité, à
l'image du donjon dans un château fort. Son niveau de
sécurité par défaut intéresse les entreprises qui dispose
de plus de temps devant elles pour déployer régulièrement
les mises à jour.
|
|
Nous
allons mener, en partenariat avec les CCI,
des séminaires sur la sécurité
auprès des PME." |
|
Quel état des lieux dressez-vous
de la sécurité informatique dans les PME...
Il faut favoriser la prise de conscience des risques
encourus. C'est un sujet sur lequel nous avons travaillé
avec le Medef en contribuant à un livre blanc sur la
sécurité des systèmes d'information. Par ailleurs,
nous allons mener en partenariat avec différentes Chambres
de Commerce et de l'Industrie, des séminaires évoquant
la sécurité dans les PME. Toutefois, il faut bien se
rendre compte que les patrons de PME vivent dans le
risque, avec des problèmes à résoudre comme : comment
payer mes salariés à la fin du mois ? Il convient dès
lors de trouver un juste équilibre à la sécurité dans
ces organisations.
Le souci majeur des PME/PMI vient du manque de compétences
informatiques. La seule façon de les aider nécessite
de leur proposer des offres de services mais ce n'est
pas le rôle de Microsoft, plutôt celui de société de
services comme Cap Gemini ou Unisys. Or, en ce moment
ces offres de services n'existent pas sur le marché
ou à des coûts trop élevés pour des petites structures.
Parallèlement, l'offre doit s'appuyer sur un triptyque
technologie, processus et ressources humaines et non
uniquement sur la technique. La sécurité ne peut se
faire qu'avec les gens et non contre eux.
et dans les grands comptes
français ?
L'état des lieux des grands comptes serait très difficile
à dresser car les situations peuvent être très différentes,
notamment selon les secteurs. Traditionnellement, les
banques y sont plus au fait que les autres. L'organisation
même de la sécurité demeure très variable. Nous allons
trouver un RSSI rattaché à la DSI, d'autres à la direction
financière, d'autres encore à la direction générale.
Pour certains, le RSSI gère tous les risques de l'entreprise
et pour d'autres, il se cantonne aux risques informatiques.
|
|
La
sécurité est une chaîne
qu'il faut superviser dans son ensemble." |
|
Ces modèles reflètent la diversité des cultures d'entreprise.
Elle montre aussi les conflits d'intérêts qui peuvent
surgir entre RSSI et DSI. Quel arbitrage faire entre
performances et sécurité ? Les lois telles la LCEN ou
Sarbanes Oxley encouragent parfois les entreprises à
déléguer la responsabilité de la sécurité aux RSSI.
Dans ce cas, le RSSI n'acceptera ces responsabilités
que si on lui donne le pouvoir et les moyens de le faire.
En conséquence, cela durcit les relations entre les
deux protagonistes, DSI et RSSI. Et je ne crois pas
aux modèles décentralisés avec un responsable sécurité
par activité de l'entreprise. La sécurité c'est une
chaîne et si un de ses maillons se révèle déficient,
cela aura des conséquences sur l'ensemble. Il faut donc
superviser l'ensemble.
Comment conjuguer mobilité
et sécurité du système d'information ?
Lorsqu'une entreprise met en place des services de mobilité,
cela signifie que son périmètre de sécurité n'existe
plus. Les systèmes de sécurité traditionnel ne peuvent
pas suffire. Elle doit dès lors résoudre deux problèmes
principaux.
Le premier concerne les connexions à distance au réseau
de l'entreprise. Chez Microsoft, nous avons mis en place
un système d'authentification forte, chaque employé
mobile recevant une carte à puce. Puis nous utilisons
un système de quarantaine réseau contrôlant l'état de
santé du poste, de façon à forcer les gens à mettre
à jour leurs postes, avant de leur accorder leur connexion
VPN.
Par contre cette stratégie ne marche que pour les connexions
établies en dehors de l'entreprise à travers le poste
mobile. Sur ce thème, un projet, baptisé NAP pour Network
Access Protection, est en cours et devrait aboutir d'ici
2007. Le but de NAP serait de pouvoir vérifier la santé
des postes quel que soit l'endroit où l'employé se trouve.
Cela s'appuie sur des mécanismes IPSec autorisant une
politique dynamique de sécurité. Si le poste ne se trouve
pas à jour, alors nous l'orientons vers un serveur spécifique
et une fois nettoyé et à jour, le poste peut de nouveau
se connecter à condition que la politique de sécurité
n'ait pas changé.
L'inconvénient du protocole DHCP vient du fait que
l'entreprise doit définir une durée de bail. Or bien
souvent le bail se monte à plusieurs jours. Si la politique
de sécurité change entre temps, le bail reste valide.
Au contraire IPSec supprime tout PC intrus et crypte
également les communications, rendant ainsi inutile
l'écoute du réseau.
|
|
Ce
n'est un secret pour personne, nous allons
rentrer sur le marché de la sécurité." |
|
Qu'attendre de NGSCB (ex-Paladium)
...
NGSCB va arriver en deux phases. La première sera intégrée
dans Longhorn et touchera directement le Bios. L'enjeu
revient à assurer un boot sécurisé à travers une clé
préalablement choisie par l'utilisateur. Le disque dur,
crypté par défaut, ne sera accessible qu'après cette
phase d'authentification. La deuxième étape qui devrait
apparaître à peu près en même temps que Longhorn sera
l'hyperviseur. Il s'agit d'héberger des machines virtuelles
au dessus de cet hyperviseur, lui-même protégé par le
matériel.
Concrètement, un mode d'exécution dit de confiance
sera présent dans les puces d'Intel et d'AMD. A travers
celui-ci, l'utilisateur s'assure que la mémoire se trouve
cloisonnée par le matériel et que les pages vues à travers
l'environnement virtuel A, ne seront pas lisibles par
l'environnement B. NGSCB s'inscrit donc davantage dans
une optique de protection de la confidentialité des
données que l'inverse.
... Et du positionnement
futur de Microsoft sur le marché de la sécurité ?
Les choses sont assez simples. Je pense que ce n'est
plus un secret pour personne, nous allons rentrer sur
ce marché. Pour prendre le cas de l'antispyware, nous
proposons actuellement une version béta gratuite simple,
sans fonction d'administration avancée. La version
entreprise sera payante. En matière d'antivirus, la
plupart des solutions sont payantes aujourd'hui. Nous
allons donc respecter la concurrence en sortant une
version également payante. Nous nous positionnerons
comme un acteur parmi tant d'autres.
Nous continuons de travailler avec les spécialistes
du matériel comme Intel et AMD sur des sujets tels que
la virtualisation, NGSCB ou les jeux d'instructions
64 bits. Nous avons tout intérêt à ce que ces technologies
soient les plus communes possibles. Par ailleurs, actuellement
il est impossible de protéger du logiciel par du logiciel.
Ce n'est pas spécifique à Windows. Avec la technologie
NX, apparue l'année dernière, AMD et Intel se propose
de résoudre quelques petits problèmes, liés aux buffers
overflows, mais ce n'est qu'une première étape modeste.
|