Internet Explorer
6 a été patché de très nombreuses fois
en quelques mois d'existence. Où est l'effort de Microsoft
?
Cyril Voisin.
Nous avons effectivement relevé un grand nombre de failles
dans IE 6. Mais j'attire votre attention sur le fait que ce navigateur
est sorti au moment même où nous avons lancé
notre initiative de sécurité STPP. Il va falloir encore
quelque temps pour que le fruit de nos efforts se ressente dans
les produits qui arrivent sur le marché. En ce qui me concerne,
je crois beaucoup en la fiabilité de nos nouveaux produits.
Nous avons pour objectif de tendre vers le zéro faille. Une
barrière impossible à atteindre bien sûr, mais
nous nous sommes donné les moyens de nous en approcher.
Comment cela
?
Nous avons lancé la Secure Initiative. En
quoi consiste-t-elle ? Nos équipes ont arrêté
le développement de nos produits pendant deux mois entiers,
pour suivre un séminaire sur les techniques du Hacking. Puis
nous leur avons fait analyser
tout
le code de nos produits afin de débusquer à l'aide
d'un outil et corriger les blocs de code vulnérables. Le
petit outil d'analyse que nous utilisons est programmé pour
repérer les parties de code faibles, et il est conçu
pour évoluer : nous l'enrichissons dés qu'un nouveau
genre de failles est découvert. Nous prenons donc rendez-vous
avec les clients de Microsoft : la prochaine version de notre serveur
(la version .Net) sera sûre par défaut. Et les quelques
failles que les pirates pourront trouver seront d'autant plus rares
que nous avons réduit la surface d'attaque de notre serveur
: l'installation par défaut comprendra un nombre de module
très limité. Pour chaque module additionnel, il faudra
soi-même activer la fonction. En
tout cas, en attendant l'arrivée de nos nouveaux produits,
il faut impérativement continuer de patcher. Les SRP tous
les deux mois, et les Services Packs qui reprennent la totalité
des modifications tous les 18 mois approximativement. La sécurité,
ce n'est pas une destination, c'est un voyage.
Et du côté
de la gestion des correctifs justement, Microsoft a-t-il respecté
ses promesses ? Le patchage est-il enfin facilité ?
A une exception près, nous avons suivi le
calendrier
que nous nous étions fixé. C'est-à-dire qu'il
ne reste plus que deux projets à honorer. Le projet de mise
à jour automatique arrive à son terme : nous comptons
lancer notre utilitaire d'ici juillet, comme prévu. Quant
au Service Pack 3 pour Windows 2000, nous sommes un peu en retard.
Il a fallu attendre que la norme de sécurité internationale
Orange Book soit mise à jour.
En quoi consistent
vos nouveaux outils de sécurité ?
Les deux outils les plus intéssants sont HF
Netcheck et Baseline Security Analizer - ils sont tous les deux
téléchargeables gratuitement sur notre site.
Avec ces deux utilitaires, il est enfin possible de savoir exactement
quelles mises à jour manquent au parc d'ordinateurs d'un
directeur informatique, et quels ordinateurs sont mals configurés
- il est fréquent qu'un mot de passe soit manquant sur une
machine. Ensuite, il est possible d'éditer soi-même
un pack comprenant tous les correctifs, ce qui permet d'éviter
de redémarrer l'ordinateur une fois pour installer chaque
patch. Tous ces outils sont sortis ces derniers mois : on ne
peut plus nous accuser de prendre les problèmes de sécurité
à la légère. Et ce n'est pas fini : nous allons
lancer d'ici juillet un outil de gestion des mises à jour
à distance : Software Update Services. Un client léger
pourra être installé sur toutes les machines d'un parc
informatique. Ce client ira puiser les mises à jour sur un
serveur dédié - où l'administrateur aura déposé
sa sélection de patches.
Et la Hotline
gratuite ?
Elle a été mise en place.
Elle coûte un franc la minute, nos ne facturons aucun frais
d'ouverture de dossier. Nos conseillers traitent les problèmes
de mise en place des patches, ainsi que les problèmes de
virus qui se seraient déjà infiltrés dans le
système. Et au final, nous avons remarqué que les
administrateurs qui nous appellent sont tous des habitués
des correctifs.
Lorsque
Microsoft a annoncé en Novembre 2001 qu'il souhaitait brider
la communication sur les brèches, vous avez essuyé
de nombreuses critiques. En avez-vous tiré les conséquences
?
Tout à
fait. Très rapidement, Microsoft a précisé
qu'il ne souhaitait pas que les découvreurs des failles dissimulent
leurs découvertes. Nous souhaitons simplement qu'ils ne dévoilent
pas d'informations sur la façon de les exploiter. C'est très
simple à comprendre : nous demandons un mois de délai
avant de tout révéler sur une faille, afin que nous
puissions apporter un correctif avant que les pirates ne s'en emparent
pour propager des virus et des vers. D'ailleurs, nous citons tous
les découvreurs de failles dans nos Newsletters, afin qu'ils
profitent de la notoriété qu'ils recherchent en faisant
publier dans la presse les brèches de nos systèmes.
Et il faut croire que nous avons été entendus :
à l'heure actuelle, nous ne recevons plus autant de critiques
qu'il y a six mois.
A l'heure du
bilan, votre nouvelle politique de sécurité est-elle
un succès ?
Sur le plan technique,
c'est incontestable. Sur le plan de la communication, nous avons
été voir tous nos clients pour leur présenter
nos outils de mises à jour. Mais nous n'avons aujoud'hui
aucun moyen de chiffrer la portée de notre effort. L'essentiel
pour nous est d'avoir enfin réagi à l'attente de nos
clients, et d'avoir placé la sécurité au coeur
du fonctionnement de Microsoft. A l'heure où je vous parle,
nos développeurs ont des objectifs chiffrés de fiabilité
sur nos nouveaux produits. Une fois de plus, nous donnons rendez-vous
à nos clients pour la sortie de nos nouveaux produits :
ils seront incomparablement plus fiables.