10/05/2001
Microsoft
renoue avec la sécurité de ses systèmes
A partir de cette année
2001, le 4 octobre sera un jour à marquer
d'une croix dans le calendrier pour fêter un anniversaire
en rapport avec Microsoft.
Mais lequel ? Pas celui du rachat de la joint-venture
formée entre l'éditeur et Ericsson par
l'équipementier suédois. Ni la sortie
ce jour de l'OS pour assistants personnels Pocket PC
2002 conçu par la firme de Redmond.
Outre ces deux annonces simultanées, il en est
une autre qui fera date, celle de la mise en place par
Microsoft d'une véritable machine de guerre dédiée
à la sécurité de ses systèmes
d'informations. Car cette année, tout comme les
précédentes, a été rythmée
par les exploitations des multiples vulnérabilités
dans ses produits, en particulier le serveur http IIS,
le client de messagerie Outlook et celui de navigation
Explorer. Pour ne citer qu'eux, les dangereux virus
Code
Red et Nimda
en sont les exemples les plus récents. Avec des
milliards de dollars de dégâts à
la clef.
Get
Secure, c'est bien. Stay Secure, c'est mieux.
Après
avoir littéralement fait sortir des responsables
sécurité de leurs gonds et suscité
quelques vives réactions chez certains analystes
comme ceux du Gartner,
Microsoft engage à présent une véritable
politique responsable à travers son programme
STPP (Strategic Technology Protection Program). Une
politique qu'il faudra tout de même éprouver
dans le temps, sur la pérennité des correctifs
et les délais quant à leur disponibilité,
sur la diminution des failles dans les nouveaux produits,
et sur la qualité du support notamment. Mais
l'initiative mérite d'être soulignée.
Dédié aux entreprises, le nouveau programme
de Microsoft s'organise en deux phases : Get Secure
et Stay Secure. Littéralement : "Devenez
sécurisés, et restez-le". Des concepts
presque simplistes que pourtant bon nombre d'experts
sécurité ont parfois du mal à faire
appliquer correctement. La première phase, Get
Secure, a été lancée mercredi.
La seconde devrait s'enclencher dans les soixante prochains
jours.
Des
étapes gratuites à mettre en place avant
l'été 2002
Dans le
détail, ces deux phases comportent des parties
payantes et des parties gratuites. Les consultants et
les techniciens de Microsoft qui se déplaceront
dans les locaux des entreprises pour sécuriser
leurs systèmes (Get Secure) ne le feront pas
aux frais de la princesse. Mais le support antivirus
par téléphone, lui, ne coûtera rien
du tout selon l'éditeur. En France, rien ne dit
qu'un numéro vert sera mis en place. Mais tout
dépend ce que veut dire gratuit. Les outils et
les grappes de correctifs dédiés à
Windows 2000 et NT devraient quant à eux être
téléchargeables sans frais. Au total,
six étapes dont au moins cinq gratuites sont
prévues selon Brian Valentine, le vice-président
de la division Windows chez Microsoft, interviewé
sur l'une des publications de l'éditeur.
En voici la liste :
- dès maintenant, le Security Tool Kit peut être
téléchargé avec les correctifs
les plus critiques ainsi qu'un outil permettant la mise
à jour instantanée depuis Windows Update
vers les nouveaux correctifs.
- Aujourd'hui aux Etats-Unis, le support antivirus est
mis en route. Il le sera dans d'autres pays au cours
des prochaines semaines.
- Tous les deux mois, des correctifs multiples destinés
à boucher plusieurs failles à la fois
seront disponibles.
- En décembre, une collection d'outils devrait
voir le jour pour aider l'administrateur dans l'application
des correctifs sur les réseaux d'entreprise et
faciliter les aspects liés aux configurations
des serveurs.
- En février 2002 sortira le Windows 2000 Service
Pack 3 qui devrait résumer tous les précédents
correctifs et comporter de nouveaux outils de sécurité.
- Enfin, à la mi-2002, la technologie Federated
Corporate Windows Update devrait être disponible
auprès des entreprises, permettant aux administrateurs
d'installer leur propre serveur Windows Update sur le
réseau interne et de commander l'installation
des correctifs de leur choix. Sur ce dernier point,
la gratuité n'est pas garantie. Mais l'effort,
bien que tardif, mérite d'être encouragé.
A lire aussi: Gartner
Group sans pitié avec le serveur Web de Microsoft,
et l'interview
de Thierry Zucchi / Avanade en réaction à
l'affirmation de Gartner.
|