Le Chef de programme Sécurité
chez Microsoft France s'est exprimé pendant une
heure sur la politique et les efforts du géant
du logiciel en matière de sécurité
et de communication autour de la sécurité.
Deux leitmotivs : minimiser par tous les moyens les vulnérabilités
logicielles, et paramétrer par défaut les
outils de sécurité pour qu'ils soit les
plus "fermés" possibles.
Quel
est exactement votre rôle en tant que Chef du programme
Sécurité ? Comment êtes-vous coordonné avec l'international
?
Cyril
Voisin : Je m'occupe de l'approche sécurité de Microsoft
en France. Je m'intéresse à la sécurité des utilisateurs
des technologies Microsoft. J'ai des équivalents dans
l'ensemble des pays où Microsoft est représenté. Nous
nous coordonnons avec les équipes d'engineering basées
essentiellement à Redmond.
Vous
avez été recruté spécifiquement pour la sécurité ou
vous faisiez autre chose chez Microsoft avant ?
Je suis chez Microsoft depuis 6
ans et demi. Cela a été un recrutement interne.
Quel est le budget consacré
à la qualité des produits finis chez Microsoft ? Et
en % du chiffre d'affaires ?
Je ne le sais pas. La partie qualité
(dont la sécurité) font partie du nouveau cycle de développement
dit Trustworthy Computing (en place depuis 2 ans). Il
est difficile de quantifier cela car c'est partie intégrante
du produit. A titre d'exemple, les investissements purement
sécurité du security push de Windows Server 2003 sur
2 mois en 2002 ont représenté environ 200 millions de
dollars, mais ce n'est qu'une goutte d'eau par rapport
au reste.
"L'informatique de confiance"
(trustworthy computing) : en quelques mots c'est quoi
concrètement ?
L'informatique de confiance est une initiative
visant à faire de l'informatique une commodité au même
titre que l'eau, le gaz et l'électricité. Cela concerne
l'ensemble de l'industrie informatique, dont Microsoft.
Nous décomposons cette initiative en 4 grands piliers
: sécurité, respect de la vie privée, fiabilité et intégrité
des différents fournisseurs.
Début 2004, comment mesurez-vous
le niveau de confiance ou de défiance accordé à Microsoft
en matière de sécurité ? (honnêtement)
Aujourd'hui
nous devons encore faire nos preuves. Nous avons entamé
des restructurations fondamentales dans notre façon
de faire les produits (en plaçant la sécurité comme
priorité numéro 1) mais cela met du temps à apparaître.
La confiance est longue à gagner et facile à perdre...
Alors c'est un travail de longue haleine et nous continuons
nos efforts.
Palladium (maintenant NGCS
ou quelque chose comme ça), le "product activation",
etc. Comment Microsoft fait face aux critiques concernant
la vie privée ?
Ce sujet (le
respect de la vie privée) fait partie des piliers de
notre stratégie. En Europe, et en, France en particulier,
la loi protège bien les consommateurs et c'est très
bien. Sur les 2 exemples que vous citez, permettez moi
de donner quelques précisions. L'activation produit
(à ne pas confondre avec l'enregistrement qui lui est
optionnel) est un processus anonyme, donc pas de problème
pour le respect de la vie privée. NGSCB [NDLR: Next
Generation Secure Computing Base] permettra au propriétaire
de la machine d'avoir encore plus de respect de la vie
privée qu'aujourd'hui (voir le livre
blanc sur notre site qui explique comment les technologies
de sécurité avancées de NGSCB peuvent protéger les données
privées à un niveau jamais atteint avant).
Comment gérez vous les failles
? (Equipes dédiées, délais, procédures, etc.)
Il y a plusieurs dimensions. L'enjeu numéro
1 pour nous est de fournir des produits où les vulnérabilités
ont été supprimées. Cela correspond à des formations
(18 000 développeurs re-formés), des processus et des
outils. Les rapports vulnérabilités potentielles sont
également surveillés en permanence par une équipe dédiée
MSRC (Microsoft Security Response Center). Ils surveillent
les infos publiques sur le sujet et sont également accessibles
par messagerie. Ils se chargent de faire vérifier la
réalité des vulnérabilités, de faire développer les
correctifs et rédigent les bulletins de sécurité.
Le problème de la sécurité
n'est-il pas, à votre avis, essentiellement un problème
de mauvais développement des logiciels (je ne vise pas
forcement Windows) ?
Effectivement, aujourd'hui une partie
des problèmes de sécurité vient de la présence de vulnérabilités
(problème de qualité). Il n'y a malheureusement pas
que cela. Sur l'aspect technologique il y a aussi les
faiblesses sécuritaires de certains protocoles (POP3,
Wi-Fi). Enfin, il y a le paramètre humain (personnes
à qui on fait révéler un numéro de carte bleu, erreur
de configruation) et enfin l'organisation (les processus:
se maintient-on à jour, etc. ...)
Comment mieux contrôler les
salariés en entreprise pour éviter qu'ils ne commettent
l'irréparable pour la sécurité ?
Tout d'abord il doit y avoir une
politique de sécurité en place. Ensuite il faut former
les personnes au respect de la politique de sécurité
mais aussi à avoir les gestes qui sauvent. C'est un
peu comme sur la route, on vous explique les panneaux,
les priorités mais une fois en voiture on doit se débrouiller.
En informatique il faut aussi savoir être méfiant (pièces
jointes, appels téléphoniques suspects) mais aussi être
responsabilisé. Ainsi, il peut arriver que la responsabilité
civile de l'entreprise soit engagée si un employé commet
un délit voire un crime en utilisant les ressources
de l'entreprise. Enfin, d'un point de vue mise en oeuvre,
il faut faire en sorte que les utilisateurs aient le
minimum de privilèges et de droits nécessaires pour
faire leur travail (et ne pas leur laisser l'accès à
tout...). C'est dans l'ensemble assez difficile, je
le reconnais.
Ne pensez-vous pas que les
problèmes de sécurité viennent de certaine option de
Windows comme les objet comme le vbscript (plus évoluer
qu'un bash par exemple) ou le vba qui permettent de
donner trop de possibilité d'intrusion?
C'est effectivement une question
qui se pose. La richesse de la plate-forme entraîne
la simplicité pour l'automatisation et l'augmentation
de la complexité, d'où la diminution de la sécurité
en général. Toutefois, aujourd'hui les intrusions ne
viennent pas par les composants que vous citez. Simplement,
une fois l'intrusion faite cela simplifie le travail
de l'attaquant et ou du virus. Soyons clair : si ces
outils n'existaient pas, rien n'empêcherait d'écrire
des programmes faisant le même travail. Exemple: Outlook
a été en 1997/98 un moyen de propagation facile de virus
(une fois la personne infectée, le virus utilisait Outlook
pour s'envoyer lui-même par messagerie). Depuis qu'Outlook
a des fonctions de surveillance de ces comportements
les virus arrivent directement avec leurs propres moteurs
de messageries...
Beaucoup se posent la question
de savoir si Outlook Express 6.xx ou 7.xx a venir sera
plus sécurisé.....
Oui. La prochaine mise à jour arrivera
dans le Service Pack 2 de WIndows XP à la fin du premier
semestre de cette année. La gestion des pièces jointes
bloquées sera améliorée. Je n'ai pas aujourd'hui d'infos
sur la version qui suivra.
Quels sont les rapports de
Microsoft avec les principaux éditeurs d'antivirus ?
Nous avons des relations de partenariats
dans le cadre de la Virus Information Alliance dont
le but est de collaborer lors de la découverte d'un
nouveau virus afin de donner rapidement des éléments
pertinents et corrects sur le virus. Nous avons également
acheté l'an dernier les technologies antivirus de GeCad.
Il y a un firewall inclus dans
XP y aura t il par la suite un antivirus inclus dans
Windows?
Non. L'antivirus que Microsoft pourrait
proposer serait nécessairement optionnel et payant.
A quand un filtre anti-spam
performant intégré à Outlook ?
C'est déjà le cas dans Outlook 2003.
A moins que vous ne le trouviez pas performant ? Il
utilise un filtre bayésien (probabiliste) pour déterminer
si un message est du spam ou non. Une mise à jour du
moteur est d'ailleurs disponible sur Office Update.
Où en est la stratégie de Microsoft
autour de la gestion des droits numériques ?
La gestion des droits numériques
est disponibles pour les contenus multimédia depuis
plusieurs années (en option dans les formats WIndows
Media). Nous avons également sortie à la fin 2003 des
fonctions de gestion de droits numériques en entreprises
: RMS (Rights Management Services). La première application
à proposer ces services est Office 2003 Professionnel.
Cela permet par exemple de protéger (si on le souhaite
et si on en a besoin bien sûr) un document Word pour
que seul le service juridique y ait accès. SI le document
sort de l'entreprise, il est illisible pour toute personne
non autorisée par l'entreprise car son contenu est chiffré.
Avec Intel (puces) et avec
vos logiciels, demain, kazaa et le Peer to peer n'auront
plus qu'à aller se rhabiller, non ?
Pourquoi ? Si vous faites allusion
à NGSCB ce qu'il faut retenir c'est que sur un PC NGSCB,
tout ce qui existe aujourd'hui continue de fonctionner
de manière inchangée. Simplement, un mode de fonctionnement
hyper sécurisé permet à une application de s'exécuter
à l'abri de toutes les autres applications et à l'abri
du système d'exploitation lui-même.
Que l'on valide les installe
par une connexion à MS soit mais, que XP se connecte
sans notre autorisation, ne trouvez vous pas que c'est
scandaleux ?
Il y a effectivement de nombreuses
fonctionnalités de Windows XP qui peuvent se connecter
à Internet afin de fournir un service donné. Nous avons
publié la liste de toutes ces fonctionnalités ainsi
que le moyen de les désactiver si vous n'en voulez pas
dans un livre
blanc.
Est-ce vrai que des logiciels
sont parfois mis sur le marché en sachant pertinemment
qu'ils sont buggés et que le leur débuggage sera fait
par la suite ?
Ca a pu être le cas à l'époque où
les dates de sortie étaient fixées arbitrairement. Maintenant,
notre philosophie (depuis Windows 2000) est de sortir
le produit "quand il est prêt".
L'ouverture du code, ce n'est
pas un garanti de contrôle qualité par rapport au monde
propriétaire qu'incarne Microsoft ?
L'accès au code permet effectivement de faire des
contrôles de qualité, pas seulement sur la sécurité
d'ailleurs. Dans le cadre de nos développements, nous
demandons à des sociétés expertes de faire des revues
de code complémentaires à celles que nous faisons en
interne. En outre, nous faisons certifier nos logiciels
selon les critères communs. Enfin, nous proposons l'accès
au code source de Windows à l'ensemble des gouvernements
et aux sociétés de plus de 1500 PC.
Comment Microsoft peut accompagné
les entreprises à sécuriser leur installation ??
Nous proposons des documentations
sur notre site Web sur la sécurisation des infrastructures.
Nous allons également organiser des journées de formation
gratuites sur la sécurité (notions essentielles, sécurisation
des clients, des serveurs, gestion des correctifs de
sécurité). Nos partenaires peuvent également intervenir
pour avoir une vision au delà de Microsoft, car tout
système d'information est par nature hétérogène.
J'ai lu dans JDNet que Microsoft
avait confié le code source de Windows à un laboratoire
chinois. Pourquoi ? [NDLR : nous avions
écrit exactement "gouvernement chinois"]
Le gouvernement chinois participe au Government
Security Program et a donc accès au code source de Windows.
Cela leur permet d'évaluer la sécurité de WIndows avec
un autre angle, tout en leur permettant de vérifier
qu'il n'y a pas dans WIndows de code pouvant nuire à
leurs intérêts nationaux (vieilles rumeurs).
Comment parlez de sécurité,
de patchs, de backdoors, à un public lambda qui veut
juste se servir de la bureautique et écoutez de la musique,
mais qui se désintéresse ou ne comprend rien à l'informatique
?
C'est très difficile. Pour être
honnête, je suis même convaincu qu'il faut faire en
sorte que les produits assurent d'eux-mêmes le maximum
de sécurité. C'est d'ailleurs une des raisons pour lesquelles
le pare-feu de XP sera activé par défaut dans le SP2.
Je ne crois pas au "marketing" de la peur du virus ou
du hacker.
Quelles sont les prochaines
initiatives de Microsoft dans la sécurité. Que peut-on
attendre avec Longhorn en particulier ?
Longhorn est la prochaine version
de Windows. Il y aura plein de nouveautés dont certaines
ont été dévoilées lors de la conférence pour les développeurs
professionnels d'octobre dernier. On y a parlé d'un
concept d'authentification permettant de faire du peer
to peer sécurisé par exemple (votre pare-feu est fermé
sauf pour les personnes que vous autorisez mais qui
n'ont pourtant pas de compte sur votre machine). Toutefois
il se passera encore du temps avant que Longhorn ne
sorte et il y aura des améliorations significatives
avec le SP2 de XP et le SP1 de WIndows Server 2003.
Haut débit = haute insécurité.
Vous êtes d'accord?
Le haut débit
augmente les risques du fait de la possibilité de connexion
permanente et du fait aussi du débit qui permet de descendre
plein d'outils sur une machine attaquée. Maintenant,
haut débit ou pas c'est Internet qui change la donne
et qui fait que votre PC est toujours dans un environnement
hostile. Mais on pourrait dire la même chose pour le
WI-Fi par exemple.
Aujourd'hui, le virus mydoom
fait des ravages sur Internet et dans les boites aux
lettres de milliers de personnes, qu'en pensez-vous ?
Je ne suis
pas bien informé sur le sujet. D'après ce que j'ai compris
c'est un virus qui arrive sous forme d'une pièce jointe
exécutable. Donc, pour s'en tenir à ce que propose Microsoft,
si vous avez la dernière version de votre logiciel de
messagerie, la pièce jointe doit être inaccessible (sous
réserve que mes infos soient bonnes).
Cyril Voisin: Pour finir, j'invite tout le monde
à faire appliquer sur tous les PC connectés les 3 étapes
de protection (pare-feu, autoupdate, antivirus) :
http://www.microsoft.com/france/securite/protection.
Je vous invite également à aller sur le newsgroup sécurité
quand vous vous posez des questions : news://news.microsoft.com/microsoft.public.fr.securite.
Au revoir.
|