Quand on en vient à évoquer la sécurité des produits de l'éditeur Microsoft, plus rien ne paraît vraiment aberrant. Tout semble avoir été dit à propos de multiples exploitations des grappes de vulnérabilités insidieuses dans les Windows, Explorer, Outlook, IIS, etc. Mais à chaque fois, l'on découvre que d'autres moyens existent à la portée des hackers, et que le travail de responsable sécurité en charge d'architectures Microsoft a encore de beaux jours devant lui. A lui tout seul, Windows est un produit extrêmement complexe, qui a mobilisé plus d'un millier de développeurs sur sa conception. Or, ce système est aussi le plus répandu d'un point à l'autre du globe. Tout est dit ? En tout cas, tout n'est pas forcément résumé de façon aussi simple.

Pour en effectuer la démonstration, reprenons les quelques annonces récentes sur les problèmes de sécurité en rapport avec l'éditeur dont le siège est basé à Seattle. Ici et là, de nombreux organes de diffusion de l'information plus ou moins spécialisés sur la sécurité oeuvrent à tisser une toîle globale des risques numériques, avec en filigrane un constat: l'informatique et les réseaux doivent nous tomber sur la tête un de ces jours. Et généralement, le coupable porte le nom Microsoft. Difficile d'y échapper. Dans l'optique d'informer nos lecteurs dont bon nombre sont utilisateurs de ses produits, nous ne dérogeons pas à la règle qui consiste à couvrir l'actualité du sujet. La preuve...

Fausse mise à jour de Outlook, le ver Gigger est inactif
Mercredi 9 janvier 2002, plusieurs éditeurs d'antivirus découvrent l'existence de Gigger, un ver JavaScript au patronyme évoquant le nom du dessinateur des créatures qui grouillent dans la saga cinématographique des Alien. Ce code malicieux est jugé peu dangereux en raison de sa faible propagation effective par la quasi-totalité des éditeurs (F-Secure, McAfee, Sophos, Trend Micro... les liens pointent vers les bulletins d'alertes correspondants). Seul Symantec considère que son aptitude à formater le disque dur, et sa volonté d'essayer de se faire passer pour une mise à jour Windows Update pour Outlook, valent une évaluation de dangerosité à 2/5.

L'action de faire croire qu'il n'est pas ce qu'il est en réalité est un procédé d'ingénierie sociale bien connu pour amener l'internaute à cliquer sur la pièce jointe. En attendant, les efforts déployés par les présumés bulgares auteurs du virus ne paraîssent pas avoir été bien loin dans la recherche de mimétisme. Et tant pour Microsoft, qui aurait pu en être la victime à cause d'une déterioration possible de son image déjà bien altérée sur ce plan. Pour l'instant, la menace semble être écartée.

Une panne de Windows Update retient les correctifs
Lundi dernier, l'agence Reuters a rapporté que Microsoft, à travers ses ingénieurs, tentait de réparer un bug dans son serveur Windows Update empêchant le bon fonctionnement du véritable système de mises à jour. L'occasion s'est ainsi présentée pour un porte-parole de la firme d'avancer le nombre de 8 millions d'utilisateurs de Windows XP exploitant chaque semaine cette option. Et la dépêche de rappeler une faille majeure découverte dans XP le mois dernier, celle dite du service Universal Plug'n'Play (lien vers le communiqué). Evidemment, les correctifs n'ont pu être téléchargés pendant ce laps de temps en vue de colmater la brèche. Le coupable ? Microsoft, bien sûr.

Sur ce point précis, une intéressante chronique de Tim Mullen (directeur des systèmes d'informations et de l'architecture logicielle chez l'éditeur spécialisé AnchorIS) a été publiée sur SecurityFocus, le site d'information officiel de la mailing list Bugtraq. Dans son texte, il remet en question le fonctionnement de cette faille. Celle-ci ne concernerait pas le service UPnP, en dépit des injonctions du NIPC dépendant du FBI qui suggérait purement et simplement sa désinstallation. Une démarche largement répercutée dans les médias anglo-saxons.

D'après Tim Mullen, qui rappelle le communiqué initial de la société eEye Digital Security, désinstaller UPnP ne sert à rien puisque c'est en fait l'implémentation du protocole SSDP dans l'OS qui est impactée. Celui-ci sert notamment à l'Universal Plug'n'Play pour reconnaître automatiquement des ordinateurs ou des périphériques connectés au réseau. Quoi qu'il en soit, ce n'est pas le protocole en lui même - développé par l'Internet Engineering Task Force - qui contiendrait la vulnérabilité, mais la portion de code dans Windows qui traite les requêtes SSDP. Microsoft apparaît donc encore fautif dans cette histoire.

Des trous dans la boutique développeurs de Microsoft
Evidemment, le fait que des failles de sécurité préexistent dans les produits de Microsoft n'est pas à son avantage, pas plus que quand ce sont ses sites qui contiennent des vulnérabilités. Mais dans ce dernier cas, l'éditeur peut être à la fois coupable et victime, si des pirates tentent d'exploiter la brèche pour pénétrer son propre système et le déteriorer, ou voler des informations sur les comptes clients. En tout cas, cela ne fait pas vraiment sérieux pour une entreprise qui déclarait en octobre dernier (lire article) le lancement d'un programme ambitieux sur la sécurité baptisé STPP.

Vendredi, c'était donc au tour de l'agence d'information NewsBytes de signaler la correction d'un script non sécurisé dans la boutique en ligne Microsoft Developer Store. Entre la publication initiale de la brèche dans Bugtraq par un expert en sécurité argentin et la mise à jour effective du site, il se serait écoulé entre dix et douze heures pendant lesquelles un pirate aurait pu perpétrer son forfait. Là dessus, l'éditeur n'a pas souhaité communiquer, ce qui peut se comprendre aisément.

Bref. Comme nous pouvons le constater, il n'est pas facile d'assurer une couverture complète du sujet touchant à Microsoft et la sécurité. Lorsqu'il s'agit du ver Gigger, l'éditeur se pose en victime. Quand ce sont ses produits qui contiennent des vulnérabilités, il apparaît coupable. En même temps, celles-ci nuisent à son image de marque. Alors, s'il pouvait s'en passer... mais ne renversons pas les rôles. A cet égard, la seule excuse qui pourrait prévaloir pour l'éditeur de Windows serait qu'il est présent partout. Les failles d'un logiciel vendu à peu d'exemplaires ne risquent pas de faire couler de l'encre. Sauf peut-être chez des vrais experts de la sécurité, ce qui explique les liens dans nos articles. Et puis, coupable ou victime, là n'est probablement pas la question. Le tout est de se protéger, et de se tenir à jour sur les failles de son propre système d'informations.