Une étude montre que Microsoft met de plus en plus longtemps à combler les failles qui affectent ses produits.

Depuis l’institution du système des correctifs mensuels, en 2003, Microsoft a souvent fait l’objet de critiques sur sa vitesse de réaction. On lui a notamment reproché de prendre son temps avant de combler des failles à partir du moment où elles étaient clairement identifiées. La comparaison avec certains projets open-source, dont Linux ou Mozilla Firefox, ne plaidait pas en faveur de l’éditeur de Redmond, mais il pouvait s’agir d’observations subjectives. Le site Security Fix, affilié au Washington Post, a voulu en savoir davantage, plutôt que de comparer des oranges et des pommes. Voici le résultat de ses travaux.

Il a d’abord fallu définir ce qu’on appelle une faille, ou une vulnérabilité : selon les points de vues, on estime qu’une faille mérite de porter ce nom à partir du moment où elle est avérée, c’est-à-dire lorsqu’une preuve est apportée de son exploitation possible par des gens mal intentionnés.

Ensuite, il s’est agi de fixer une échelle de priorités. Certaines failles peuvent occasionner l’arrêt brutal—le plus souvent assorti d’un redémarrage et d’un écran bleu—de votre PC, mais ne pas représenter de réelle menace pour vos données personnelles, ni signifier qu’un pirate a pu, à distance, prendre le contrôle de votre machine. A l’inverse, certains logiciels malveillants, et particulièrement bien cachés, peuvent vous dépouiller quotidiennement sans que le fonctionnement de votre ordinateur ne vous permette de détecter leur présence. Chez Microsoft, on associe à une faille le qualificatif de ‘’critique’’ lorsque ce dernier cas de figure se produit.

Enfin, Security Fix s’est attaché à calculer le temps écoulé entre le moment où Microsoft a été notifié (ou s’est aperçu) de l’existence d’une vulnérabilité, et celui où un correctif était publié ; pour ce faire, le site s’est procuré certaines données directement auprès de Microsoft, mais dans certains cas, un contact avec le ou les découvreurs de la faille en question a été nécessaire.

De tout ce qui précède, il ressort qu’au cours des trois dernières années (de 2003 à 2005 inclus), il a fallu à Microsoft en moyenne trois mois pour corriger une faille avérée. En 2003, notamment, ce chiffre était une constante, mais il est passé à 134,5 jours ( ! ), soit quatre mois et demie, et s’est stabilisé à ce niveau en 2005. La moyenne s’explique par le fait qu’elle est pondérée en fonction du nombre de failles considérées par année pleine : il y en a eu davantage en 2003 qu’au cours des deux années suivantes.

Il semblerait également que Microsoft soit plus prompt à résoudre les problèmes s’il en apprend l’existence en même temps que tout le monde. Voilà qui contredit ceux qui montrent d’un doigt accusateur le phénomène du ‘’full disclosure’’, par lequel des développeurs et éditeurs de solutions de sécurité dévoilent au grand jour des failles, voire—mais c’est plus risqué—des preuves de concept, au lieu de les soumettre sous le manteau à Microsoft, et d’attendre que ce dernier publie un correctif avant d’en dévoiler le détail au public.

De fait, lorsque la firme de Redmond s’est retrouvé le dos au mur, elle a œuvré avec davantage de célérité : il lui a fallu en moyenne 71 jours en 2003 pour combler des failles dévoilées sans son accord ; en 2004, ce nombre est descendu à 55 jours, et à même atteint ‘’seulement’’ 46 jours en 2005. Comme quoi certains travaillent réellement mieux sous la pression…

Pour autant, les cas de ‘’full disclosure’’ se sont faits moins nombreux au fil du temps : en 2003, Microsoft avait dû combler huit failles ainsi dévoilées, contre seulement quatre l’an dernier.

Reste un point sur lequel on aurait tort de passer trop vite : le fait que Windows est un ensemble complexe de logiciels, où la moindre modification, fut-elle pour la bonne cause, peut mettre en danger l’harmonie du système tout entier. Stephen Toulouse, l’un des principaux responsables des questions de sécurité chez Microsoft, rappelle la mésaventure qui est survenue voici bientôt deux ans, lorsque les développeurs de la firme ont été appelés à sécuriser un composant  développé en ASN.1 (Abstract Syntax Notation 1), dans ce qui était alors considéré comme la plus grande faille de tous les temps sous Windows ; en enquêtant sur le problème, et en testant des solutions, les développeurs de Microsoft se sont rendus compte que le remède pouvait être pire que le mal, et ont dû se livrer à un délicat numéro d’équilibre, sous peine de déstabiliser totalement le système.

Bien entendu, les récentes menaces dites ‘’zero day’’ (à action immédiate), comme celle relevant du format de fichier WMF, sont encore bien présentes dans les esprits, et ont trouvé une solution dans des délais plus que raisonnables, mais comme le rappelle Marc Maiffret, d’eEye Security, ‘’plus on met de temps à publier un correctif, et plus longtemps l’utilisateur est à la merci des menaces’’.

Cela ressemble à une Lapalissade, mais n’en reste pas moins vrai.



Source : Slashdot