Ouverture et Microsoft : quid de la sécurité ?

0
000000DC00901648-photo-bernard-ourghanlian-microsoft-france.jpg
Microsoft créait la surprise en annonçant la semaine dernière, son intention d'ouvrir certains protocoles jusque là considérés comme secrets industriels (voir Microsoft infléchit sa stratégie et ouvre ses secrets). En promettant de mettre en ligne une documentation d'un peu plus de 30 000 pages sur certains protocoles utilisés par Windows et Office, Microsoft a suscité de nombreuses réactions comme relatés dans cette brève. Parmi les nombreuses réactions suscitées par cette annonce, certains s'interrogeaient sur les problématiques en matière de sécurité logicielle. Une question légitime que nous avons posée à Bernard Ourghanlian, directeur technique et sécurité pour Microsoft France :

Clubic.com : Qu'implique, en terme de sécurité et de risque potentiel pour l'entreprise et pour l'utilisateur, l'ouverture des protocoles et autres API des produits « high volume » de Microsoft ? Ne risque-t'on pas de voir certains petits malins éplucher les documentations à la recherche de failles dont ils pourraient tirer profit afin de mettre à mal l'intégrité de l'environnement Windows ? Je suppose que Microsoft a bien entendu pris en compte cette problématique : comment comptez-vous l'adresser ?

Bernard Ourghanlian : D'une façon générale, à mon sens, la « sécurité par l'obscurité », cela n'a jamais fonctionné... Autrement dit, ce n'est pas le fait de documenter nos API et nos protocoles qui devrait changer quoi que ce soit à la sécurité de nos produits. De même que je n'ai jamais cru au fait que la possibilité de diffuser largement le code source des logiciels permettait obligatoirement d'en améliorer la sécurité... Je partage en ce sens l'avis de Ross Anderson (voir ce lien) qui ne peut pourtant pas être taxé de grand ami de Microsoft.

Pour être plus précis, cela fait maintenant 2 ans que l'on a systématisé la mise en œuvre d'outils de fuzzing qui permettent de tester des utilisations incorrectes de l'ensemble de nos API et de nos protocoles (et aussi de nos formats de fichiers). Ces outils nous ont permis de découvrir de nombreux bugs dans nos logiciels qui ont été corrigés depuis la sortie de Windows Vista, Office 2007, Exchange 2007, Windows Server 2008, Windows XP SP3, etc. Il y a donc des éventualités de problèmes induits par cette documentation avec les versions précédentes de nos logiciels mais tout devrait normalement bien se passer avec les nouvelles versions.

Ces outils de fuzzing ne sont toutefois pas mis à la disposition de nos clients car ils peuvent aussi malheureusement se transformer en outils d'attaque très puissants. Nous avons donc pris la décision de ne pas les publier malgré leur incontestable intérêt.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page