pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Une politique étrangère à la sécurité

Vendredi 03 fevrier 2006

La politique de sécurité de Microsoft, c'est de ne pas divulguer publiquement les failles de son système quand elles sont découvertes.
Microsoft pense que tant qu'ils n'ont pas publié le correctif de sécurité, personne ne peut avoir connaissance de la faille.

Cette manière de procéder s'appelle "Security through obscurity" (la sécurité par l'obscurité). Et c'est complètement crétin.


Contrairement à ce qu'on aurait naturellement tendance à penser, c'est très mauvais. Pour que la sécurité informatique soit efficace, il est important que toute faille de sécurité soit immédiatement rendue publique, sans quoi personne ne peut s'en prémunir (C'est pour cela que des organismes comme le CERT, le CERTA ou le SANS Institute existent. )


Et voici encore une preuve que la façon de voir de Microsoft est foireuse: La faille WMF de Windows (qui permet - potentiellement - de prendre le contrôle total d'une machine sous Windows) était connue sur internet un mois avant que Microsoft ne publie le correctif !

Source: http://it.slashdot.org/article.pl?sid=06/02/02/215210&from=rss


Si un responsable informatique ne sait pas qu'une faille existe, il ne pourra pas prendre les mesures nécessaires pour s'en protéger.
Et ce fait a pu se vérifier encore et encore dans les années passées.
Malgré les grandes prétentions de Microsoft en matière de sécurité, ils refusent de faire le nécessaire dans ce sens.


Et c'est même pire que ça: eEye Security, une entreprise de sécurité informatique, avait même dû menacer Microsoft de divulguer publiquement une faille de sécurité de Windows car Microsoft ne l'avait toujours pas corrigée au bout de 7 mois.


Je ne peux pas m'empêcher de penser que malgré les discours de Microsoft, leur manière d'aborder la sécurité est faussée.
Ce ne sont pourtant pas les bonnes intentions qui manquent.