Conclusion

Au terme de ce tour d'horizon de l'initiative Trustworthy Computing, il apparaît que malgré toutes les critiques que l'on a pu faire à Microsoft sur ce sujet dans le passé, les choses ont quand même bien bougé et la sécurité est visiblement prise au sérieux par la firme de Redmond. L'approche de Microsoft et ses 3 piliers semble cohérente : le MSEC intègre la démarche sécurité dans le développement des produits, le MSRC assure le suivi avec une efficacité grandissante, et le MMPC effectue une veille du paysage des logiciels malveillants, tout en proposant aux utilisateurs des outils de sécurité tels que Microsoft Security Essentials, Forefront ou Windows Defender.

Le défi auquel doit faire face Microsoft est de faire en sorte que la démarche ne se brise pas au niveau de l'utilisateur. Et on constate en parcourant les derniers rapports SIR de l'éditeur qu'il s'agit d'un travail plus complexe qu'il en a l'air : nombre d'infections constatées sur les périodes étudiées exploitent des failles qui ont déjà été corrigées dans Windows, alors que les chiffres portant sur les nouvelles vulnérabilités sont au plus bas. De même, on constate que les anciennes versions de Windows sont nettement plus attaquées que les dernières en date (Windows 7 et 2008 Server R2). Problème : Windows XP est encore largement utilisé et Windows 7 vient à peine de lui passer devant à l'heure où nous écrivons ces lignes. On peut donc en déduire que la situation est en bonne voie, mais elle nous rappelle la difficulté qu'a Microsoft a faire évoluer sa base d'utilisateurs. Windows 7 a réussi là où Windows Vista avait échoué, mais XP va tout de même sur ses 10 ans !

Le problème est compliqué par le fait que si les vulnérabilités touchant directement Windows sont en baisse, les attaques ciblant les vulnérabilités de logiciels tiers tels que Java ou Adobe Reader, elles, ont toujours le vent en poupe. Là encore, il s'agit souvent d'anciennes vulnérabilités, corrigées par les éditeurs, et les attaques trouvent donc leur cible en raison d'un manque de vigilance de l'utilisateur. D'un manque de vigilance ou d'un processus de mise à jour perçu par celui-ci comme une nuisance.

Beaucoup d'inconnues subsistent quant aux évolutions futures de Windows : on sait que les applications Metro seront exclusivement distribuées via un kiosque de téléchargement en ligne, qu'elles seront soumises à une validation de Microsoft, et qu'elles devront passer, à l'image des applications iOS, par des techniques de sandboxing. Néanmoins, ces règles ne s'appliqueront pas, visiblement, aux applications « classiques » qui continueraient donc à nécessiter une attention accrue de la part des utilisateurs. L'équilibre entre la sécurisation du système et la liberté de l'utilisateur sera donc plus que jamais la clé...