Quel est exactement votre rôle en tant que Chef du programme Sécurité ? Comment êtes-vous coordonné avec l'international ?
Cyril Voisin : Je m'occupe de l'approche sécurité de Microsoft en France. Je m'intéresse à la sécurité des utilisateurs des technologies Microsoft. J'ai des équivalents dans l'ensemble des pays où Microsoft est représenté. Nous nous coordonnons avec les équipes d'engineering basées essentiellement à Redmond.

Vous avez été recruté spécifiquement pour la sécurité ou vous faisiez autre chose chez Microsoft avant ?
Je suis chez Microsoft depuis 6 ans et demi. Cela a été un recrutement interne.

Quel est le budget consacré à la qualité des produits finis chez Microsoft ? Et en % du chiffre d'affaires ?
Je ne le sais pas. La partie qualité (dont la sécurité) font partie du nouveau cycle de développement dit Trustworthy Computing (en place depuis 2 ans). Il est difficile de quantifier cela car c'est partie intégrante du produit. A titre d'exemple, les investissements purement sécurité du security push de Windows Server 2003 sur 2 mois en 2002 ont représenté environ 200 millions de dollars, mais ce n'est qu'une goutte d'eau par rapport au reste.

"L'informatique de confiance" (trustworthy computing) : en quelques mots c'est quoi concrètement ?
L'informatique de confiance est une initiative visant à faire de l'informatique une commodité au même titre que l'eau, le gaz et l'électricité. Cela concerne l'ensemble de l'industrie informatique, dont Microsoft. Nous décomposons cette initiative en 4 grands piliers : sécurité, respect de la vie privée, fiabilité et intégrité des différents fournisseurs.

Début 2004, comment mesurez-vous le niveau de confiance ou de défiance accordé à Microsoft en matière de sécurité ? (honnêtement)
Aujourd'hui nous devons encore faire nos preuves. Nous avons entamé des restructurations fondamentales dans notre façon de faire les produits (en plaçant la sécurité comme priorité numéro 1) mais cela met du temps à apparaître. La confiance est longue à gagner et facile à perdre... Alors c'est un travail de longue haleine et nous continuons nos efforts.

Palladium (maintenant NGCS ou quelque chose comme ça), le "product activation", etc. Comment Microsoft fait face aux critiques concernant la vie privée ?
Ce sujet (le respect de la vie privée) fait partie des piliers de notre stratégie. En Europe, et en, France en particulier, la loi protège bien les consommateurs et c'est très bien. Sur les 2 exemples que vous citez, permettez moi de donner quelques précisions. L'activation produit (à ne pas confondre avec l'enregistrement qui lui est optionnel) est un processus anonyme, donc pas de problème pour le respect de la vie privée. NGSCB [NDLR: Next Generation Secure Computing Base] permettra au propriétaire de la machine d'avoir encore plus de respect de la vie privée qu'aujourd'hui (voir le livre blanc sur notre site qui explique comment les technologies de sécurité avancées de NGSCB peuvent protéger les données privées à un niveau jamais atteint avant).

Comment gérez vous les failles ? (Equipes dédiées, délais, procédures, etc.)
Il y a plusieurs dimensions. L'enjeu numéro 1 pour nous est de fournir des produits où les vulnérabilités ont été supprimées. Cela correspond à des formations (18 000 développeurs re-formés), des processus et des outils. Les rapports vulnérabilités potentielles sont également surveillés en permanence par une équipe dédiée MSRC (Microsoft Security Response Center). Ils surveillent les infos publiques sur le sujet et sont également accessibles par messagerie. Ils se chargent de faire vérifier la réalité des vulnérabilités, de faire développer les correctifs et rédigent les bulletins de sécurité.

Le problème de la sécurité n'est-il pas, à votre avis, essentiellement un problème de mauvais développement des logiciels (je ne vise pas forcement Windows) ?
Effectivement, aujourd'hui une partie des problèmes de sécurité vient de la présence de vulnérabilités (problème de qualité). Il n'y a malheureusement pas que cela. Sur l'aspect technologique il y a aussi les faiblesses sécuritaires de certains protocoles (POP3, Wi-Fi). Enfin, il y a le paramètre humain (personnes à qui on fait révéler un numéro de carte bleu, erreur de configruation) et enfin l'organisation (les processus: se maintient-on à jour, etc. ...)

Comment mieux contrôler les salariés en entreprise pour éviter qu'ils ne commettent l'irréparable pour la sécurité ?
Tout d'abord il doit y avoir une politique de sécurité en place. Ensuite il faut former les personnes au respect de la politique de sécurité mais aussi à avoir les gestes qui sauvent. C'est un peu comme sur la route, on vous explique les panneaux, les priorités mais une fois en voiture on doit se débrouiller. En informatique il faut aussi savoir être méfiant (pièces jointes, appels téléphoniques suspects) mais aussi être responsabilisé. Ainsi, il peut arriver que la responsabilité civile de l'entreprise soit engagée si un employé commet un délit voire un crime en utilisant les ressources de l'entreprise. Enfin, d'un point de vue mise en oeuvre, il faut faire en sorte que les utilisateurs aient le minimum de privilèges et de droits nécessaires pour faire leur travail (et ne pas leur laisser l'accès à tout...). C'est dans l'ensemble assez difficile, je le reconnais.

Ne pensez-vous pas que les problèmes de sécurité viennent de certaine option de Windows comme les objet comme le vbscript (plus évoluer qu'un bash par exemple) ou le vba qui permettent de donner trop de possibilité d'intrusion?
C'est effectivement une question qui se pose. La richesse de la plate-forme entraîne la simplicité pour l'automatisation et l'augmentation de la complexité, d'où la diminution de la sécurité en général. Toutefois, aujourd'hui les intrusions ne viennent pas par les composants que vous citez. Simplement, une fois l'intrusion faite cela simplifie le travail de l'attaquant et ou du virus. Soyons clair : si ces outils n'existaient pas, rien n'empêcherait d'écrire des programmes faisant le même travail. Exemple: Outlook a été en 1997/98 un moyen de propagation facile de virus (une fois la personne infectée, le virus utilisait Outlook pour s'envoyer lui-même par messagerie). Depuis qu'Outlook a des fonctions de surveillance de ces comportements les virus arrivent directement avec leurs propres moteurs de messageries...

Beaucoup se posent la question de savoir si Outlook Express 6.xx ou 7.xx a venir sera plus sécurisé.....
Oui. La prochaine mise à jour arrivera dans le Service Pack 2 de WIndows XP à la fin du premier semestre de cette année. La gestion des pièces jointes bloquées sera améliorée. Je n'ai pas aujourd'hui d'infos sur la version qui suivra.

Quels sont les rapports de Microsoft avec les principaux éditeurs d'antivirus ?
Nous avons des relations de partenariats dans le cadre de la Virus Information Alliance dont le but est de collaborer lors de la découverte d'un nouveau virus afin de donner rapidement des éléments pertinents et corrects sur le virus. Nous avons également acheté l'an dernier les technologies antivirus de GeCad.

Il y a un firewall inclus dans XP y aura t il par la suite un antivirus inclus dans Windows?
Non. L'antivirus que Microsoft pourrait proposer serait nécessairement optionnel et payant.

A quand un filtre anti-spam performant intégré à Outlook ?
C'est déjà le cas dans Outlook 2003. A moins que vous ne le trouviez pas performant ? Il utilise un filtre bayésien (probabiliste) pour déterminer si un message est du spam ou non. Une mise à jour du moteur est d'ailleurs disponible sur Office Update.

Où en est la stratégie de Microsoft autour de la gestion des droits numériques ?
La gestion des droits numériques est disponibles pour les contenus multimédia depuis plusieurs années (en option dans les formats WIndows Media). Nous avons également sortie à la fin 2003 des fonctions de gestion de droits numériques en entreprises : RMS (Rights Management Services). La première application à proposer ces services est Office 2003 Professionnel. Cela permet par exemple de protéger (si on le souhaite et si on en a besoin bien sûr) un document Word pour que seul le service juridique y ait accès. SI le document sort de l'entreprise, il est illisible pour toute personne non autorisée par l'entreprise car son contenu est chiffré.

Avec Intel (puces) et avec vos logiciels, demain, kazaa et le Peer to peer n'auront plus qu'à aller se rhabiller, non ?
Pourquoi ? Si vous faites allusion à NGSCB ce qu'il faut retenir c'est que sur un PC NGSCB, tout ce qui existe aujourd'hui continue de fonctionner de manière inchangée. Simplement, un mode de fonctionnement hyper sécurisé permet à une application de s'exécuter à l'abri de toutes les autres applications et à l'abri du système d'exploitation lui-même.

Que l'on valide les installe par une connexion à MS soit mais, que XP se connecte sans notre autorisation, ne trouvez vous pas que c'est scandaleux ?
Il y a effectivement de nombreuses fonctionnalités de Windows XP qui peuvent se connecter à Internet afin de fournir un service donné. Nous avons publié la liste de toutes ces fonctionnalités ainsi que le moyen de les désactiver si vous n'en voulez pas dans un livre blanc.

Est-ce vrai que des logiciels sont parfois mis sur le marché en sachant pertinemment qu'ils sont buggés et que le leur débuggage sera fait par la suite ?
Ca a pu être le cas à l'époque où les dates de sortie étaient fixées arbitrairement. Maintenant, notre philosophie (depuis Windows 2000) est de sortir le produit "quand il est prêt".

L'ouverture du code, ce n'est pas un garanti de contrôle qualité par rapport au monde propriétaire qu'incarne Microsoft ?
L'accès au code permet effectivement de faire des contrôles de qualité, pas seulement sur la sécurité d'ailleurs. Dans le cadre de nos développements, nous demandons à des sociétés expertes de faire des revues de code complémentaires à celles que nous faisons en interne. En outre, nous faisons certifier nos logiciels selon les critères communs. Enfin, nous proposons l'accès au code source de Windows à l'ensemble des gouvernements et aux sociétés de plus de 1500 PC.

Comment Microsoft peut accompagné les entreprises à sécuriser leur installation ??
Nous proposons des documentations sur notre site Web sur la sécurisation des infrastructures. Nous allons également organiser des journées de formation gratuites sur la sécurité (notions essentielles, sécurisation des clients, des serveurs, gestion des correctifs de sécurité). Nos partenaires peuvent également intervenir pour avoir une vision au delà de Microsoft, car tout système d'information est par nature hétérogène.

J'ai lu dans JDNet que Microsoft avait confié le code source de Windows à un laboratoire chinois. Pourquoi ? [NDLR : nous avions écrit exactement "gouvernement chinois"]
Le gouvernement chinois participe au Government Security Program et a donc accès au code source de Windows. Cela leur permet d'évaluer la sécurité de WIndows avec un autre angle, tout en leur permettant de vérifier qu'il n'y a pas dans WIndows de code pouvant nuire à leurs intérêts nationaux (vieilles rumeurs).

Comment parlez de sécurité, de patchs, de backdoors, à un public lambda qui veut juste se servir de la bureautique et écoutez de la musique, mais qui se désintéresse ou ne comprend rien à l'informatique ?
C'est très difficile. Pour être honnête, je suis même convaincu qu'il faut faire en sorte que les produits assurent d'eux-mêmes le maximum de sécurité. C'est d'ailleurs une des raisons pour lesquelles le pare-feu de XP sera activé par défaut dans le SP2. Je ne crois pas au "marketing" de la peur du virus ou du hacker.

Quelles sont les prochaines initiatives de Microsoft dans la sécurité. Que peut-on attendre avec Longhorn en particulier ?
Longhorn est la prochaine version de Windows. Il y aura plein de nouveautés dont certaines ont été dévoilées lors de la conférence pour les développeurs professionnels d'octobre dernier. On y a parlé d'un concept d'authentification permettant de faire du peer to peer sécurisé par exemple (votre pare-feu est fermé sauf pour les personnes que vous autorisez mais qui n'ont pourtant pas de compte sur votre machine). Toutefois il se passera encore du temps avant que Longhorn ne sorte et il y aura des améliorations significatives avec le SP2 de XP et le SP1 de WIndows Server 2003.

Haut débit = haute insécurité. Vous êtes d'accord?
Le haut débit augmente les risques du fait de la possibilité de connexion permanente et du fait aussi du débit qui permet de descendre plein d'outils sur une machine attaquée. Maintenant, haut débit ou pas c'est Internet qui change la donne et qui fait que votre PC est toujours dans un environnement hostile. Mais on pourrait dire la même chose pour le WI-Fi par exemple.

Aujourd'hui, le virus mydoom fait des ravages sur Internet et dans les boites aux lettres de milliers de personnes, qu'en pensez-vous ?
Je ne suis pas bien informé sur le sujet. D'après ce que j'ai compris c'est un virus qui arrive sous forme d'une pièce jointe exécutable. Donc, pour s'en tenir à ce que propose Microsoft, si vous avez la dernière version de votre logiciel de messagerie, la pièce jointe doit être inaccessible (sous réserve que mes infos soient bonnes).

Cyril Voisin: Pour finir, j'invite tout le monde à faire appliquer sur tous les PC connectés les 3 étapes de protection (pare-feu, autoupdate, antivirus) : http://www.microsoft.com/france/securite/protection. Je vous invite également à aller sur le newsgroup sécurité quand vous vous posez des questions : news://news.microsoft.com/microsoft.public.fr.securite. Au revoir.