Chez Microsoft, c'est des gens qui sont super bien organisés. Ils se débrouillent pour faire au moins un trou de sécurité par semaine, histoire que les mecs de la sécurité ne restent pas une pleine semaine sans rien faire. Prenons l'exemple du mois d'octobre. Il n'est pas encore terminé, qu'on a déjà 4 alertes rouges (critiques) et une alerte orange (importante) touchant tous les systèmes, une alerte rouge sur Internet Explorer, en plus d'une alerte rouge qui ne touche que Windows 2000. Détaillons un peu ces alertes :

  1. Microsoft Security Bulletin MS03-040. Le patch qu'on attendait pour Internet Explorer et ses 31 trous de sécurité (notons que PivX, qui maintenait une liste de ces bugs, vient brusquement de la retirer). Cette rustine est à appliquer d'urgence !
  2. Microsoft Security Bulletin MS03-041. Dans certaines conditions, le fait de visiter un site (avec Internet Explorer) ou de recevoir un mail (avec Outlook ou Outlook Express) permet d'installer furtivement (via ActiveX) un logiciel qui prend le contrôle de votre machine. Il est interessant de constater que même si on n'utilise pas Internet Explorer, Microsoft recommande d'installer le patch en question, car le trou de sécurité est dans Windows lui-même, pas dans IE. Autrement dit, toutes les applications utilisant la technologie de sécurité (ahem) Authenticode sont vulnérables. Concrètement, si vous n'utilisez ni IE ni Outlook, il est extrèmement improbable d'être victime de ce souci. Cela dit, prudence est mère de sûreté, surtout dans le domaine de la sécurité. Installez-donc ce patch.
  3. Microsoft Security Bulletin MS03-043. Un bogue de sécurité dans NetBios (le protocole réseau de Microsoft) permet à un pirate d'installer un logiciel sur votre machine à votre insu, et d'en prendre le contrôle, soit pour effacer des fichiers, soit pour les envoyer vers Internet (vos mots de passe, vos coordonnées bancaires, etc...) Donc oui, c'est bien un grave problème, qui démontre une fois de plus l'impérieuse nécessité d'un pare-feu, si possible plus efficace que le très médiocre Firewall de Windows XP.
  4. Microsoft Security Bulletin MS03-044. Les utilisateurs de Windows XP et Windows Server 2003, en cliquant (dans IE ou Outlook) sur une URL de type hcp:// peuvent provoquer l'exécution d'un programme produit par un pirate, et qui prendrait le contrôle de la machine à distance. Oui, c'est effectivement un grave trou de sécurité.
  5. Microsoft Security Bulletin MS03-042 ne s'applique qu'aux utilisateurs de Windows 2000, qui reste tout de même la version la plus diffusée dans le monde de l'entreprise (vu le peu d'intérêt pour XP dans le domaine professionnel). Le problème est très comparable à celui décrit dans le bulletin précedent. Il suffit de cliquer sur un lien (dans un mail ou dans IE) pour qu'un pirate prenne le contrôle de la machine à distance.
  6. Microsoft Security Bulletin MS03-045 n'est lui qu'au niveau important, dans la mesure ou le trou de sécurité nécessite au pirate d'accéder physiquement à la machine pour devenir super-utilisateur et en prendre complètement le contrôle.

Voilà donc les quelques trous de sécurité découverts en trois semaines, qui viennent compléter une liste déjà trop longue : 70 bulletins ont été publiés par Microsoft en 2002, sans compter les problèmes qu'ils refusent de considérer comme sérieux. Par ailleurs, on peut noter que Microsoft fait des efforts pour informer les utilisateurs. Outre la campagne publicitaire que mentionne Daniel, Microsoft poursuit cette campagne sur Internet : 3 étapes pour vous aider à protéger votre PC. Allons voir de quoi il retourne :

Si vous avez Windows 95, 98, 98SE, ça va vous coûter cher :

  1. Achetez un pare-feu logiciel
  2. Mettez à jour votre système, en achetant un nouveau système d'exploitation Windows encore supporté.
  3. Achetez un logiciel anti-virus avec un abonnement pour les mises à jour

Si vous avez Windows 2000 ou Windows ME, ça vous coûtera un peu moins cher :

  1. Achetez un pare-feu logiciel
  2. Mettez à jour votre système, gratuitement par Windows update. Enfin,gratuitement... Disons que si Microsoft ne vous facture pas, c'est votre éventuel forfait Internet qui va morfler !
  3. Achetez un logiciel anti-virus avec un abonnement pour les mises à jour

Si vous avez Windows XP, la douloureuse est plus douce :

  1. Utilisez le pare-feu logiciel inclut dans Windows XP
  2. Mettez à jour votre système avec Windows Update
  3. Achetez un logiciel anti-virus à un éditeur indépendant.

Dans tous les cas, vous allez douiller. C'est une certitude.

Mais revenons à la campagne de sécurité de Microsoft. Ils se retrouvent actuellement dans une situation particulièrement délicate :

  • les utilisateurs lambdas n'ont pas conscience des problèmes de sécurité, à force d'être désinformés sur le sujet par Microsoft lui-même, sur l'air bien connu, tout va très bien, Madame la Marquise...
  • Les logiciels Microsoft sont très peu sécurisés, parce que la convivialité a toujours été prioritaire sur la sécurité, et cela se paye cash pour Microsoft maintenant.
  • Le doute est maintenant installé sur la capacité de Microsoft à vendre des outils sécurisés : Les virus et vers Sobig/MSBlast et Swen en août et septembre 2003 ont fait beaucoup de dégats dans l'opinion publique (en plus de ceux sur les disques durs des clients de Microsoft).

Microsoft se retrouve donc obligé de agir face à ce changement dans l'opinion publique. Mais Microsoft doit aussi faire passer le message que la sécurité, c'est l'affaire de tous, de l'éditeur, de l'administrateur, et aussi de l'utilisateur. Mais comment parler de sécurité (ce que MS a toujours refusé de faire avec le grand public) sans écorner sa crédibilité, déjà bien entachée avec les différents procès et maintenant les problèmes de sécurité ?

Cela passe par des initiatives sur le fil du rasoir, comme la campagne évoqués précedemment, mais aussi par des initiatives en faveur des grands comptes ou encore ce numéro de téléphone, gratuit pour les incidents relatifs à la sécurité et aux virus. (Mais qui coûte quand même 15 centimes d'Euros par minute, on ne se refait pas).

En substance, c'est un grand pas en avant qu'est en train de franchir Microsoft, et je ne peux que les encourager à continuer, surtout s'ils arrivent à se débarrasser de leur langue de bois. Le message finira par passer. Moi qui suis aussi utilisateur de Windows, voici comment je suis sécurisé :

  1. J'ai un pare-feu matériel sur ma connexion ADSL;
  2. J'utilise fréquemment Windows Update pour télécharger les patchs
  3. Je n'utilise jamais Internet Explorer (sauf pour Windows Update), mais Mozilla 1.5.
  4. Je n'utilise jamais ni Outlook ni Outlook Express, mais Mozilla Thunderbird, sans affichage des images distantes ni activation du JavaScript dans les messages.
  5. Je n'ouvre pas les pièces jointes dans les messages, surtout si elles peuvent contenir du code exécutable (SCR, PIF, EXE, DOC, XLS, PPT)
  6. Je n'utilise jamais Microsoft Passport (Mon compte de test avait été supprimé dans des circonstances étranges) ni Microsoft Messenger, mais Gaim (libre et sans pub)
  7. j'ai un antivirus à jour mais j'hésite à le conserver : la mise à jour payante ressemble trop à du racket.

Comme vous pouvez le constater, on est bien loin des 3 points de Microsoft. D'une part je suis bien plus en sécurité avec ma technique qu'avec la leur, et quand je pourrais enfin passer mon portable Centrino sous Linux, ça sera encore bien mieux...

Pour finir sur une pointe d'humour, il faut quand même que je vous raconte un truc : je me promenais au Monde en Tique (la boutique, pas le site), quand un livre a attiré mon attention. Je lis le titre : Coder Sécurisé. Ah, voilà qui semble intéressant. Quel éditeur ? Microsoft Press. Je glousse de surprise. Et puis là, en bas de la couverture, écrit en petit, et pourtant l'effet de la phrase sur moi est énorme : Lecture obligatoire chez Microsoft. Signé : Bill Gates !!! Alors là, j'oublie toute retenue dans la boutique, je m'esclaffe bruyamment. Le vendeur a du se demander ce qu'il me prenait... Les larmes (de bonheur) aux yeux, j'interpelle l'ami qui m'accompagnait. Un peu plus tard, on est allé bouffer une glace dans le quartier. Le patron de la boutique nous a rejoint. C'est un utilisateur de Mozilla !

Ah, à propos du livre, je me suis procuré un scan de la couverture, parce que je me doute que vous ne me croirez-pas :

/dotclear/images/coder-securise.jpg