Le Chef de programme Sécurité
chez Microsoft France s'est exprimé pendant une heure sur la politique
et les efforts du géant du logiciel en matière de sécurité
et de communication autour de la sécurité. Deux leitmotivs
: minimiser par tous les moyens les vulnérabilités logicielles,
et paramétrer par défaut les outils de sécurité
pour qu'ils soit les plus "fermés" possibles.
Quel
est exactement votre rôle en tant que Chef du programme Sécurité ? Comment
êtes-vous coordonné avec l'international ?
Cyril
Voisin : Je m'occupe de l'approche sécurité de Microsoft en France.
Je m'intéresse à la sécurité des utilisateurs des technologies Microsoft.
J'ai des équivalents dans l'ensemble des pays où Microsoft est représenté.
Nous nous coordonnons avec les équipes d'engineering basées essentiellement
à Redmond.
Vous
avez été recruté spécifiquement pour la sécurité ou vous faisiez autre
chose chez Microsoft avant ?
Je suis chez Microsoft depuis 6 ans et demi. Cela
a été un recrutement interne.
Quel est le budget consacré à la qualité des
produits finis chez Microsoft ? Et en % du chiffre d'affaires ?
Je ne le sais pas. La partie qualité (dont la sécurité)
font partie du nouveau cycle de développement dit Trustworthy Computing
(en place depuis 2 ans). Il est difficile de quantifier cela car c'est
partie intégrante du produit. A titre d'exemple, les investissements purement
sécurité du security push de Windows Server 2003 sur 2 mois en 2002 ont
représenté environ 200 millions de dollars, mais ce n'est qu'une goutte
d'eau par rapport au reste.
"L'informatique de confiance" (trustworthy computing)
: en quelques mots c'est quoi concrètement ?
L'informatique de confiance est une initiative visant à faire
de l'informatique une commodité au même titre que l'eau, le gaz et l'électricité.
Cela concerne l'ensemble de l'industrie informatique, dont Microsoft.
Nous décomposons cette initiative en 4 grands piliers : sécurité, respect
de la vie privée, fiabilité et intégrité des différents fournisseurs.
Début 2004, comment mesurez-vous le niveau de
confiance ou de défiance accordé à Microsoft en matière de sécurité ?
(honnêtement)
Aujourd'hui nous devons encore
faire nos preuves. Nous avons entamé des restructurations fondamentales
dans notre façon de faire les produits (en plaçant la sécurité comme priorité
numéro 1) mais cela met du temps à apparaître. La confiance est longue
à gagner et facile à perdre... Alors c'est un travail de longue haleine
et nous continuons nos efforts.
Palladium (maintenant NGCS ou quelque chose comme
ça), le "product activation", etc. Comment Microsoft fait face aux critiques
concernant la vie privée ?
Ce sujet (le respect de la vie
privée) fait partie des piliers de notre stratégie. En Europe, et en,
France en particulier, la loi protège bien les consommateurs et c'est
très bien. Sur les 2 exemples que vous citez, permettez moi de donner
quelques précisions. L'activation produit (à ne pas confondre avec l'enregistrement
qui lui est optionnel) est un processus anonyme, donc pas de problème
pour le respect de la vie privée. NGSCB [NDLR: Next Generation Secure
Computing Base] permettra au propriétaire de la machine d'avoir encore
plus de respect de la vie privée qu'aujourd'hui (voir le livre blanc sur
notre site qui explique comment les technologies de sécurité avancées
de NGSCB peuvent protéger les données privées à un niveau jamais atteint
avant).
Comment gérez vous les failles ? (Equipes dédiées,
délais, procédures, etc.)
Il y a plusieurs dimensions. L'enjeu numéro 1 pour nous est
de fournir des produits où les vulnérabilités ont été supprimées. Cela
correspond à des formations (18 000 développeurs re-formés), des processus
et des outils. Les rapports vulnérabilités potentielles sont également
surveillés en permanence par une équipe dédiée MSRC (Microsoft Security
Response Center). Ils surveillent les infos publiques sur le sujet et
sont également accessibles par messagerie. Ils se chargent de faire vérifier
la réalité des vulnérabilités, de faire développer les correctifs et rédigent
les bulletins de sécurité.
Le problème de la sécurité n'est-il pas, à votre
avis, essentiellement un problème de mauvais développement des logiciels
(je ne vise pas forcement Windows) ?
Effectivement, aujourd'hui une partie des problèmes
de sécurité vient de la présence de vulnérabilités (problème de qualité).
Il n'y a malheureusement pas que cela. Sur l'aspect technologique il y
a aussi les faiblesses sécuritaires de certains protocoles (POP3, Wi-Fi).
Enfin, il y a le paramètre humain (personnes à qui on fait révéler un
numéro de carte bleu, erreur de configruation) et enfin l'organisation
(les processus: se maintient-on à jour, etc. ...)
Comment mieux contrôler les salariés en entreprise
pour éviter qu'ils ne commettent l'irréparable pour la sécurité ?
Tout d'abord il doit y avoir une politique de sécurité
en place. Ensuite il faut former les personnes au respect de la politique
de sécurité mais aussi à avoir les gestes qui sauvent. C'est un comme
sur la route, on vous explique les panneaux, les priorités mais une fois
en voiture on doit se débrouiller. En informatique il faut aussi savoir
être méfiant (pièces jointes, appels téléphoniques suspects) mais aussi
être responsabilisé. Ainsi, il peut arriver que la responsabilité civile
de l'entreprise soit engagée si un employé commet un délit voire un crime
en utilisant les ressources de l'entreprise. Enfin, d'un point de vue
mise en oeuvre, il faut faire en sorte que les utilisateurs aient le minimum
de privilèges et de droits nécessaires pour faire leur travail (et ne
pas leur laisser l'accès à tout...). C'est dans l'ensemble assez difficile,
je le reconnais.
Ne pensez-vous pas que les problèmes de sécurité
viennent de certaine option de Windows comme les objet comme le vbscript
(plus évoluer qu'un bash par exemple) ou le vba qui permettent de donner
trop de possibilité d'intrusion?
C'est effectivement une question qui se pose. La richesse
de la plate-forme entraîne la simplicité pour l'automatisation et l'augmentation
de la complexité, d'où la diminution de la sécurité en général. Toutefois,
aujourd'hui les intrusions ne viennent pas par les composants que vous
citez. Simplement, une fois l'intrusion faite cela simplifie le travail
de l'attaquant et ou du virus. Soyons clair : si ces outils n'existaient
pas, rien n'empêcherait d'écrire des programmes faisant le même travail.
Exemple: Outlook a été en 1997/98 un moyen de propagation facile de virus
(une fois la personne infectée, le virus utilisait Outlook pour s'envoyer
lui-même par messagerie). Depuis qu'Outlook a des fonctions de surveillance
de ces comportements les virus arrivent directement avec leurs propres
moteurs de messageries...
Beaucoup se posent la question de savoir si Outlook
Express 6.xx ou 7.xx a venir sera plus sécurisé.....
Oui. La prochaine mise à jour arrivera dans le Service
Pack 2 de WIndows XP à la fin du premier semestre de cette année. La gestion
des pièces jointes bloquées sera améliorée. Je n'ai pas aujourd'hui d'infos
sur la version qui suivra.
Quels sont les rapports de Microsoft avec les
principaux éditeurs d'antivirus ?
Nous avons des relations de partenariats dans le cadre
de la Virus Information Alliance dont le but est de collaborer lors de
la découverte d'un nouveau virus afin de donner rapidement des éléments
pertinents et corrects sur le virus. Nous avons également acheté l'an
dernier les technologies antivirus de GeCad.
Il y a un firewall inclus dans XP y aura t il
par la suite un antivirus inclus dans Windows?
Non. L'antivirus que Microsoft pourrait proposer serait
nécessairement optionnel et payant.
A quand un filtre anti-spam performant intégré
à Outlook ?
C'est déjà le cas dans Outlook 2003. A moins que vous
ne le trouviez pas performant ? Il utilise un filtre bayésien (probabiliste)
pour déterminer si un message est du spam ou non. Une mise à jour du moteur
est d'ailleurs disponible sur Office Update.
Où en est la stratégie de Microsoft autour de
la gestion des droits numériques ?
La gestion des droits numériques est disponibles pour
les contenus multimédia depuis plusieurs années (en option dans les formats
WIndows Media). Nous avons également sortie à la fin 2003 des fonctions
de gestion de droits numériques en entreprises : RMS (Rights Management
Services). La première application à proposer ces services est Office
2003 Professionnel. Cela permet par exemple de protéger (si on le souhaite
et on en a besoin bien sûr) un document Word pour que seul le service
juridique y ait accès. SI le document sort de l'entreprise, il est illisible
pour toute personne non autorisée par l'entreprise car son contenu est
chiffré.
Avec Intel (puces) et avec vos logiciels, demain,
kazaa et le Peer to peer n'auront plus qu'à aller se rhabiller, non ?
Pourquoi ? Si vous faites allusion à NGSCB ce qu'il
faut retenir c'est que sur un PC NGSCB, tout ce qui existe aujourd'hui
continue de fonctionner de manière inchangée. Simplement, un mode de fonctionnement
hyper sécurisé permet à une application de s'exécuter à l'abri de toutes
les autres applications et à l'abri du système d'exploitation lui-même.
Que l'on valide les installe par une connexion
à MS soit mais, que XP se connecte sans notre autorisation, ne trouvez
vous pas que c'est scandaleux ?
Il y a effectivement de nombreuses fonctionnalités
de WIndows XP qui peuvent se connecter à Internet afin de fournir un service
donné. Nous avons publié la liste de toutes ces fonctionnalités ainsi
que le moyen de les désactiver si vous n'en voulez pas dans un livre blanc.
(je fournirai l'adresse ultérieurement pour qu'elle figure dans la retranscription).
Est-ce vrai que des logiciels sont parfois mis
sur le marché en sachant pertinemment qu'ils sont buggés et que le leur
débuggage sera fait par la suite ?
Ca a pu être le cas à l'époque où les dates de sortie
étaient fixées arbitrairement. Maintenant, notre philosophie (depuis Windows
2000) est de sortir le produit "quand il est prêt".
L'ouverture du code, ce n'est pas un garanti
de contrôle qualité par rapport au monde propriétaire qu'incarne Microsoft
?
L'accès au code permet effectivement de faire des contrôles de qualité,
pas seulement sur la sécurité d'ailleurs. Dans le cadre de nos développements,
nous demandons à des sociétés expertes de faire des revues de code complémentaires
à celles que nous faisons en interne. En outre, nous faisons certifier
nos logiciels selon les critères communs. Enfin, nous proposons l'accès
au code source de Windows à l'ensemble des gouvernements et aux sociétés
de plus de 1500 PC.
Comment Microsoft peut accompagné les entreprises
à sécuriser leur installation ??
Nous proposons des documentations sur notre site Web
sur la sécurisation des infrastructures. Nous allons également organiser
des journées de formation gratuites sur la sécurité (notions essentielles,
sécurisation des clients, des serveurs, gestion des correctifs de sécurité).
Nos partenaires peuvent également intervenir pour avoir une vision au
delà de Microsoft, car tout système d'information est par nature hétérogène.
J'ai lu dans JDNet que Microsoft avait confié
le code source de Windows à un laboratoire chinois. Pourquoi ? [NDLR
: nous avions écrit exactement "gouvernement chinois"]
Le gouvernement chinois participe au Government Security Program
et a donc accès au code source de Windows. Cela leur permet d'évaluer
la sécurité de WIndows avec un autre angle, tout en leur permettant de
vérifier qu'il n'y a pas dans WIndows de code pouvant nuire à leurs intérêts
nationaux (vieilles rumeurs).
Comment parlez de sécurité, de patchs, de backdoors,
à un public lambda qui veut juste se servir de la bureautique et écoutez
de la musique, mais qui se désintéresse ou ne comprend rien à l'informatique
?
C'est très difficile. Pour être honnête, je suis même
convaincu qu'il faut faire en sorte que les produits assurent d'eux-mêmes
le maximum de sécurité. C'est d'ailleurs une des raisons pour lesquelles
le pare-feu de XP sera activé par défaut dans le SP2. Je ne crois pas
au "marketing" de la peur du virus ou du hacker.
Quelles sont les prochaines initiatives de Microsoft
dans la sécurité. Que peut-on attendre avec Longhorn en particulier ?
Longhorn est la prochaine version de Windows. Il y
aura plein de nouveautés dont certaines ont été dévoilées lors de la conférence
pour les développeurs professionnels d'octobre dernier. On y a parlé d'un
concept d'authentification permettant de faire du peer to peer sécurisé
par exemple (votre pare-feu est fermé sauf pour les personnes que vous
autorisez mais qui n'ont pourtant pas de compte sur votre machine). Toutefois
il se passera encore du temps avant que Longhorn ne sorte et il y aura
des améliorations significatives avec le SP2 de XP et le SP1 de WIndows
Server 2003.
Haut débit = haute insécurité. Vous êtes d'accord?
Le haut débit augmente les risques
du fait de la possibilité de connexion permanente et du fait aussi du
débit qui permet de descendre plein d'outils sur une machine attaquée.
Maintenant, haut débit ou pas c'est Internet qui change la donne et qui
fait que votre PC est toujours dans un environnement hostile. Mais on
pourrait dire la même chose pour le WI-Fi par exemple.
Aujourd'hui, le virus mydoom fait des ravages
sur Internet et dans les boites aux lettres de milliers de personnes,
qu'en pensez-vous ?
Je ne suis pas bien informé
sur le sujet. D'après ce que j'ai compris c'est un virus qui arrive sous
forme d'une pièce jointe exécutable. Donc, pour s'en tenir à ce que propose
Microsoft, si vous avez la dernière version de votre logiciel de messagerie,
la pièce jointe doit être inaccessible (sous réserve que mes infos soient
bonnes).
Cyril Voisin: Pour finir, j'invite tout le monde à faire appliquer
sur tous les PC connectés les 3 étapes de protection (pare-feu, autoupdate,
antivirus) : http://www.microsoft.com/france/securite/protection.
Je vous invite également à aller sur le newsgroup sécurité quand vous
vous posez des questions : news://news.microsoft.com/microsoft.public.fr.securite.
Au revoir.
[Rédaction, JDNet]