Microsoft plus lent à combler ses failles

Le par  |  19 commentaire(s) Source : Slashdot

Une étude montre que Microsoft met de plus en plus longtemps à combler les failles qui affectent ses produits.

Une étude montre que Microsoft met de plus en plus longtemps à combler les failles qui affectent ses produits.

Depuis l’institution du système des correctifs mensuels, en 2003, Microsoft a souvent fait l’objet de critiques sur sa vitesse de réaction. On lui a notamment reproché de prendre son temps avant de combler des failles à partir du moment où elles étaient clairement identifiées. La comparaison avec certains projets open-source, dont Linux ou Mozilla Firefox, ne plaidait pas en faveur de l’éditeur de Redmond, mais il pouvait s’agir d’observations subjectives. Le site Security Fix, affilié au Washington Post, a voulu en savoir davantage, plutôt que de comparer des oranges et des pommes. Voici le résultat de ses travaux.

Il a d’abord fallu définir ce qu’on appelle une faille, ou une vulnérabilité : selon les points de vues, on estime qu’une faille mérite de porter ce nom à partir du moment où elle est avérée, c’est-à-dire lorsqu’une preuve est apportée de son exploitation possible par des gens mal intentionnés.

Ensuite, il s’est agi de fixer une échelle de priorités. Certaines failles peuvent occasionner l’arrêt brutal—le plus souvent assorti d’un redémarrage et d’un écran bleu—de votre PC, mais ne pas représenter de réelle menace pour vos données personnelles, ni signifier qu’un pirate a pu, à distance, prendre le contrôle de votre machine. A l’inverse, certains logiciels malveillants, et particulièrement bien cachés, peuvent vous dépouiller quotidiennement sans que le fonctionnement de votre ordinateur ne vous permette de détecter leur présence. Chez Microsoft, on associe à une faille le qualificatif de ‘’critique’’ lorsque ce dernier cas de figure se produit.

Enfin, Security Fix s’est attaché à calculer le temps écoulé entre le moment où Microsoft a été notifié (ou s’est aperçu) de l’existence d’une vulnérabilité, et celui où un correctif était publié ; pour ce faire, le site s’est procuré certaines données directement auprès de Microsoft, mais dans certains cas, un contact avec le ou les découvreurs de la faille en question a été nécessaire.

De tout ce qui précède, il ressort qu’au cours des trois dernières années (de 2003 à 2005 inclus), il a fallu à Microsoft en moyenne trois mois pour corriger une faille avérée. En 2003, notamment, ce chiffre était une constante, mais il est passé à 134,5 jours ( ! ), soit quatre mois et demie, et s’est stabilisé à ce niveau en 2005. La moyenne s’explique par le fait qu’elle est pondérée en fonction du nombre de failles considérées par année pleine : il y en a eu davantage en 2003 qu’au cours des deux années suivantes.

Il semblerait également que Microsoft soit plus prompt à résoudre les problèmes s’il en apprend l’existence en même temps que tout le monde. Voilà qui contredit ceux qui montrent d’un doigt accusateur le phénomène du ‘’full disclosure’’, par lequel des développeurs et éditeurs de solutions de sécurité dévoilent au grand jour des failles, voire—mais c’est plus risqué—des preuves de concept, au lieu de les soumettre sous le manteau à Microsoft, et d’attendre que ce dernier publie un correctif avant d’en dévoiler le détail au public.

De fait, lorsque la firme de Redmond s’est retrouvé le dos au mur, elle a œuvré avec davantage de célérité : il lui a fallu en moyenne 71 jours en 2003 pour combler des failles dévoilées sans son accord ; en 2004, ce nombre est descendu à 55 jours, et à même atteint ‘’seulement’’ 46 jours en 2005. Comme quoi certains travaillent réellement mieux sous la pression…

Pour autant, les cas de ‘’full disclosure’’ se sont faits moins nombreux au fil du temps : en 2003, Microsoft avait dû combler huit failles ainsi dévoilées, contre seulement quatre l’an dernier.

Reste un point sur lequel on aurait tort de passer trop vite : le fait que Windows est un ensemble complexe de logiciels, où la moindre modification, fut-elle pour la bonne cause, peut mettre en danger l’harmonie du système tout entier. Stephen Toulouse, l’un des principaux responsables des questions de sécurité chez Microsoft, rappelle la mésaventure qui est survenue voici bientôt deux ans, lorsque les développeurs de la firme ont été appelés à sécuriser un composant  développé en ASN.1 (Abstract Syntax Notation 1), dans ce qui était alors considéré comme la plus grande faille de tous les temps sous Windows ; en enquêtant sur le problème, et en testant des solutions, les développeurs de Microsoft se sont rendus compte que le remède pouvait être pire que le mal, et ont dû se livrer à un délicat numéro d’équilibre, sous peine de déstabiliser totalement le système.

Bien entendu, les récentes menaces dites ‘’zero day’’ (à action immédiate), comme celle relevant du format de fichier WMF, sont encore bien présentes dans les esprits, et ont trouvé une solution dans des délais plus que raisonnables, mais comme le rappelle Marc Maiffret, d’eEye Security, ‘’plus on met de temps à publier un correctif, et plus longtemps l’utilisateur est à la merci des menaces’’.

Cela ressemble à une Lapalissade, mais n’en reste pas moins vrai.



Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #79555
Hmmm, le titre "Une étude montre que Microsoft met de plus en plus longtemps à combler les failles qui affectent ses produits. Explication."

Elle est ou l'explication '
Le #79559
De toute manière, nous n'avons aucun pouvoir là dessus
(certain me diront que si: de passer sous Linux, mais c'est pas le débat).
Il y aura toujours des failles, c'est comme ça.
Les technologies évoluent plus vites que la maitrise de celles-ci.
Le problème est qu'il ne faut pas creuser l'écart.
Le #79562
Il faut simplement mettre les moyens nécessaires pour corriger, c'est bien ce qui est fait pour développer et vendre non '

Si vous achetez une voiture qui a un défaut de conception vous accepterez que le constructeur mette des mois à règler le problème '
Le #79569
xJCx>"La moyenne s?explique par le fait qu?elle est pondérée en fonction du nombre de failles considérées par année pleine : il y en a eu davantage en 2003 qu?au cours des deux années suivantes."

Donc d'après ce que j'ai compris, comme il y a eu moins de failles découvertes en 2004 et 2005, il y a forcément eu bien moins de petites failles à corriger. d'où une augmentation du ratio nombre de faille / temps passé par failles...

Ce qui serait un début d'explication... Mais encore une fois, d'après ce que j'ai compris...
Le #79570
j0rdan >donc, si je résume, il y a plus de faille découverte, donc il ont mis plus de temps par faille... en gros ils n'ont pas adapter leurs équipes/méthodes/... à la charge de travail induite par ces découvertes (trop) nombreuses '

C'est ça l'explication '
Le #79574
Pourquoi vous parlez sans arrêt du mot "explication"...'
Le #79575
AngeGabriel>mouarf, bien vu le changement de titre
Le #79577
c'est plus une constatation qu'une explication en effet. Quant a l'explication, ca peut venir de tellement de parametres (meilleure connaissance du systeme d'exploitation par les ingenieurs avec le temps, plus d'ingenieurs de disponibles pour gerer les failles, motivation.....) ; ca reste en gros difficilement quantifiable pour toute personne ne travaillant pas dans microsoft sur cette partie !
Le #79582
Qui'! Moi'!

Rhooooo! (se tape sur les doigts: "naughty... naughty...")
Le #79584
Le problème, c'est pas le nombre de failles ; c'est leur niveau de dangerosité, le temps mis pour les tuer (cf le feuilleton WMF), et le temps mis avant la première exploitation maligne de la faille.

Mais la politique générale de MS sur le logiciel doit aussi jouer sur l'exploitation des failles.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]