Quand on en vient à
évoquer la sécurité des produits
de l'éditeur Microsoft,
plus rien ne paraît vraiment aberrant. Tout semble
avoir été dit à propos de multiples
exploitations des grappes de vulnérabilités
insidieuses dans les Windows, Explorer, Outlook, IIS,
etc. Mais à chaque fois, l'on découvre
que d'autres moyens existent à la portée
des hackers, et que le travail de responsable sécurité
en charge d'architectures Microsoft a encore de beaux
jours devant lui. A lui tout seul, Windows est un produit
extrêmement complexe, qui a mobilisé plus
d'un millier de développeurs sur sa conception.
Or, ce système est aussi le plus répandu
d'un point à l'autre du globe. Tout est dit ?
En tout cas, tout n'est pas forcément résumé
de façon aussi simple.
Pour en effectuer la démonstration, reprenons
les quelques annonces récentes sur les problèmes
de sécurité en rapport avec l'éditeur
dont le siège est basé à Seattle.
Ici
et là, de nombreux organes de diffusion de l'information
plus ou moins spécialisés sur la sécurité
oeuvrent à tisser une toîle globale des
risques numériques, avec en filigrane un constat:
l'informatique et les réseaux doivent nous tomber
sur la tête un de ces jours. Et généralement,
le coupable porte le nom Microsoft. Difficile d'y échapper.
Dans l'optique d'informer nos lecteurs dont bon nombre
sont utilisateurs de ses produits, nous ne dérogeons
pas à la règle qui consiste à couvrir
l'actualité du sujet. La preuve...
Fausse
mise à jour de Outlook, le ver Gigger est inactif
Mercredi 9 janvier 2002, plusieurs éditeurs
d'antivirus découvrent l'existence de Gigger,
un ver JavaScript au patronyme évoquant le nom
du dessinateur des créatures qui grouillent dans
la saga cinématographique des Alien. Ce code
malicieux est jugé peu dangereux en raison de
sa faible propagation effective par la quasi-totalité
des éditeurs (F-Secure,
McAfee,
Sophos,
Trend
Micro... les liens pointent vers les bulletins d'alertes
correspondants). Seul Symantec
considère que son aptitude à formater
le disque dur, et sa volonté d'essayer de se
faire passer pour une mise à jour Windows Update
pour Outlook, valent une évaluation de dangerosité
à 2/5.
L'action de faire croire qu'il n'est pas ce qu'il est
en réalité est un procédé
d'ingénierie sociale bien connu pour amener l'internaute
à cliquer sur la pièce jointe.
En
attendant, les efforts déployés par les
présumés bulgares auteurs du virus ne
paraîssent pas avoir été bien loin
dans la recherche de mimétisme. Et tant pour
Microsoft, qui aurait pu en être la victime à
cause d'une déterioration possible de son image
déjà bien altérée sur ce
plan. Pour l'instant, la menace semble être écartée.
Une panne de Windows Update
retient les correctifs
Lundi dernier, l'agence Reuters a rapporté
que Microsoft, à travers ses ingénieurs,
tentait de réparer un bug dans son serveur Windows
Update empêchant le bon fonctionnement du véritable
système de mises à jour. L'occasion s'est
ainsi présentée pour un porte-parole de
la firme d'avancer le nombre de 8 millions d'utilisateurs
de Windows XP exploitant chaque semaine cette option.
Et la dépêche de rappeler une faille majeure
découverte dans XP le mois dernier, celle dite
du service Universal Plug'n'Play (lien
vers le communiqué). Evidemment, les correctifs
n'ont pu être téléchargés
pendant ce laps de temps en vue de colmater la brèche.
Le coupable ? Microsoft, bien sûr.
Sur ce point précis, une intéressante
chronique
de Tim Mullen (directeur des systèmes d'informations
et de l'architecture logicielle chez l'éditeur
spécialisé AnchorIS) a été
publiée sur SecurityFocus, le site d'information
officiel de la mailing list Bugtraq. Dans son texte,
il remet en question le fonctionnement de cette faille.
Celle-ci ne concernerait pas le service UPnP, en dépit
des injonctions du NIPC dépendant du FBI qui
suggérait purement et simplement sa désinstallation.
Une démarche largement répercutée
dans les médias anglo-saxons.
D'après Tim Mullen, qui rappelle le communiqué
initial de la société eEye
Digital Security, désinstaller UPnP ne sert
à rien puisque c'est en fait l'implémentation
du protocole SSDP dans l'OS qui est impactée.
Celui-ci sert notamment à l'Universal Plug'n'Play
pour reconnaître automatiquement des ordinateurs
ou des périphériques connectés
au réseau. Quoi qu'il en soit, ce n'est pas le
protocole en lui même - développé
par l'Internet Engineering Task Force - qui contiendrait
la vulnérabilité, mais la portion de code
dans Windows qui traite les requêtes SSDP. Microsoft
apparaît donc encore fautif dans cette histoire.
Des trous dans la boutique
développeurs de Microsoft
Evidemment,
le fait que des failles de sécurité préexistent
dans les produits de Microsoft n'est pas à son
avantage, pas plus que quand ce sont ses sites qui contiennent
des vulnérabilités. Mais dans ce dernier
cas, l'éditeur peut être à la fois
coupable et victime, si des pirates tentent d'exploiter
la brèche pour pénétrer son propre
système et le déteriorer, ou voler des
informations sur les comptes clients. En tout cas, cela
ne fait pas vraiment sérieux pour une entreprise
qui déclarait en octobre dernier (lire
article) le lancement d'un programme ambitieux sur
la sécurité baptisé STPP.
Vendredi, c'était donc au tour de l'agence d'information
NewsBytes de signaler la correction d'un script non
sécurisé dans la boutique en ligne Microsoft
Developer Store. Entre la publication
initiale de la brèche dans Bugtraq par un
expert en sécurité argentin et la mise
à jour effective du site, il se serait écoulé
entre dix et douze heures pendant lesquelles un pirate
aurait pu perpétrer son forfait. Là dessus,
l'éditeur n'a pas souhaité communiquer,
ce qui peut se comprendre aisément.
Bref. Comme nous pouvons le constater, il n'est pas
facile d'assurer une couverture complète du sujet
touchant à Microsoft et la sécurité.
Lorsqu'il s'agit du ver Gigger, l'éditeur se
pose en victime. Quand ce sont ses produits qui contiennent
des vulnérabilités, il apparaît
coupable. En même temps, celles-ci nuisent à
son image de marque. Alors, s'il pouvait s'en passer...
mais ne renversons pas les rôles. A cet égard,
la seule excuse qui pourrait prévaloir pour l'éditeur
de Windows serait qu'il est présent partout.
Les failles d'un logiciel vendu à peu d'exemplaires
ne risquent pas de faire couler de l'encre. Sauf peut-être
chez des vrais experts de la sécurité,
ce qui explique les liens dans nos articles. Et puis,
coupable ou victime, là n'est probablement pas
la question. Le tout est de se protéger, et de
se tenir à jour sur les failles de son propre
système d'informations.
|