Une politique étrangère à la sécurité
Vendredi 03 fevrier 2006
La politique de sécurité de Microsoft, c'est de ne pas divulguer publiquement les failles de son système quand elles sont découvertes.
Microsoft pense que tant qu'ils n'ont pas publié le correctif de sécurité, personne ne peut avoir connaissance de la faille.
Cette manière de procéder s'appelle "Security through obscurity" (la sécurité par l'obscurité). Et c'est complètement crétin.
Contrairement à ce qu'on aurait naturellement tendance à penser, c'est très mauvais. Pour que la sécurité informatique soit efficace, il est important que toute faille de sécurité soit immédiatement rendue publique, sans quoi personne ne peut s'en prémunir (C'est pour cela que des organismes comme le CERT, le CERTA ou le SANS Institute existent. )
Et voici encore une preuve que la façon de voir de Microsoft est foireuse: La faille WMF de Windows (qui permet - potentiellement - de prendre le contrôle total d'une machine sous Windows) était connue sur internet un mois avant que Microsoft ne publie le correctif !
Source: http://it.slashdot.org/article.pl?sid=06/02/02/215210&from=rss
Si un responsable informatique ne sait pas qu'une faille existe, il ne pourra pas prendre les mesures nécessaires pour s'en protéger.
Et ce fait a pu se vérifier encore et encore dans les années passées.
Malgré les grandes prétentions de Microsoft en matière de sécurité, ils refusent de faire le nécessaire dans ce sens.
Et c'est même pire que ça: eEye Security, une entreprise de sécurité informatique, avait même dû menacer Microsoft de divulguer publiquement une faille de sécurité de Windows car Microsoft ne l'avait toujours pas corrigée au bout de 7 mois.
Je ne peux pas m'empêcher de penser que malgré les discours de Microsoft, leur manière d'aborder la sécurité est faussée.
Ce ne sont pourtant pas les bonnes intentions qui manquent.
Microsoft pense que tant qu'ils n'ont pas publié le correctif de sécurité, personne ne peut avoir connaissance de la faille.
Cette manière de procéder s'appelle "Security through obscurity" (la sécurité par l'obscurité). Et c'est complètement crétin.
Contrairement à ce qu'on aurait naturellement tendance à penser, c'est très mauvais. Pour que la sécurité informatique soit efficace, il est important que toute faille de sécurité soit immédiatement rendue publique, sans quoi personne ne peut s'en prémunir (C'est pour cela que des organismes comme le CERT, le CERTA ou le SANS Institute existent. )
Et voici encore une preuve que la façon de voir de Microsoft est foireuse: La faille WMF de Windows (qui permet - potentiellement - de prendre le contrôle total d'une machine sous Windows) était connue sur internet un mois avant que Microsoft ne publie le correctif !
Source: http://it.slashdot.org/article.pl?sid=06/02/02/215210&from=rss
Si un responsable informatique ne sait pas qu'une faille existe, il ne pourra pas prendre les mesures nécessaires pour s'en protéger.
Et ce fait a pu se vérifier encore et encore dans les années passées.
Malgré les grandes prétentions de Microsoft en matière de sécurité, ils refusent de faire le nécessaire dans ce sens.
Et c'est même pire que ça: eEye Security, une entreprise de sécurité informatique, avait même dû menacer Microsoft de divulguer publiquement une faille de sécurité de Windows car Microsoft ne l'avait toujours pas corrigée au bout de 7 mois.
Je ne peux pas m'empêcher de penser que malgré les discours de Microsoft, leur manière d'aborder la sécurité est faussée.
Ce ne sont pourtant pas les bonnes intentions qui manquent.