Spécial sécurité : les firewalls Microsoft auront du retard
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères détaillent les retards annoncés de la famille des pare-feu de Microsoft. Avant de revenir sur le bilan sécuritaire du premier éditeur mondial en 2008.
Sommaire
- 1 - Les firewalls Microsoft auront du retard
- 2 - Rapport Sécurité : Windows, il ressemble enfin à un gruyère
1) Les firewalls Microsoft auront du retard
Le train Stirling, nous apprend l’équipe de développement, n’arrivera pas à l’heure prévue – initialement à la mi-2009. Stirling est un nom générique qui désigne toute la suite de protection périmétrique professionnelle de Microsoft, suite dont les premiers éléments – Isa Server et le firewall Forefront pour Exchange - ne devraient pas paraître avant le dernier trimestre de cette année. La console d’administration ainsi que Forefront pour Sharepoint et le « Client Security 2.0 » sont repoussés à la mi-2010.
Un report justifié, explique l’équipe, par l’importance des travaux et modifications liées à la nouvelle version. Et notamment tout ce qui touche à l’interopérabilité de la suite avec des programmes de sécurité tiers. En outre, la partie « protection du endpoint » subirait de profondes améliorations, notamment un mécanisme d’analyse comportementale et de traitement heuristique baptisé « Dynamic Signature Service ». Cette technique devrait protéger les postes de travail contre des menaces de type Zero Day. Les termes et explications sont assez flous pour que l’on puisse imaginer absolument n’importe quoi : de la protection par « sandboxing » au service d’alerte de type « cloud security » - c’est d’ailleurs la probabilité la plus forte -, en passant par d’éventuels mécanismes de policies de sécurité dynamiques asservies aux ordres des serveurs Stirling.
Rappelons également que l’antivirus OneCare ne devrait pas passer l’hiver 2009-2010. Une version gratuite du programme, peut-être enrichie d’une offre « en ligne » de service payant et administrable, devrait lui succéder. Sera-ce ce fameux DSS ? D’ici là, le marché des antivirus pourrait ben connaître d’autres rebondissements. Après l’éclatant aveu d’incapacité des spécialistes face à la déferlante Conficker, après une lente érosion du « capital confiance » provoquée par l’invasion de scarewares et autres faux antivirus, des remises en question sont à attendre.
2) Rapport Sécurité : Windows, il ressemble enfin à un gruyère
Microsoft vient de publier la 6ème édition de son « rapport sur les données de sécurité » et, le moins que l’on puisse dire, c’est que plus les années passent, plus la famille Windows ressemble à un fromage de Gruyère. Le nombre total de divulgations a diminué de 12 % par rapport à 2007, et, qualitativement, les vulnérabilités élevées (indice critique) ont reculé de 16 % sur la même période de référence. Cela représente tout de même, pour le seul second semestre de l’an passé, 42 bulletins traitant, par le jeu parfois discutable des « bouchons cumulatifs », 97 failles CVE (soit 62 % de plus que durant tout le premier semestre de cette même année). Comparativement, il faut remonter au deuxième semestre 2006 pour retrouver une telle profusion de vulnérabilités uniques.
Sur l’ensemble des défauts rapportés, et selon la période, entre 70 et 80 % des défauts ont été communiqués dans le cadre de ce que l’éditeur appelle la « divulgation responsable », autrement dit un échange d’information discret entre l’inventeur et l’éditeur, sans la moindre divulgation publique avant publication d’un correctif. Des années durant, il était fréquent que les chercheurs encourent les foudres des hordes d’avocats de « Corp » en cas de publication un peu trop sauvage. Depuis, chacun des partis a mis de l’eau dans son vin. L’on entend nettement moins parler de poursuites pour divulgation anticipée – ce rôle est désormais tenu par des Oracle, Cisco et consorts - et il est nettement plus rare de voir fleurir des ZDE Microsoft dans les colonnes de Milw0rm ou ailleurs.
Si les exploits Windows sont en très nette diminution, cela ne signifie pas que la plateforme est devenue plus sûre. Les hackers « noir » se rabattent sur d’autres programmes plus vulnérables, moins souvent mis à jour, et leurs attaques Web visent désormais des applications tierces (Acrobat Reader, Flash Player/Realplayer, Quicktime et autres accessoires). Ces vulnérabilités constituent désormais 94,5 % des menaces sous Vista – contre 59 % sous XP. Ce qui prouve que Microsoft cherche à sécuriser le noyau Microsoft, et non nécessairement l’utilisateur de ses produits. Il faut dire qu’à l’exception des outils Secunia ou F-Secure, il existe peu de programmes gratuits d’inventaire de failles dignes de ce nom. Si l’on peut admettre que les « assessement tools » soient nécessairement des programmes commerciaux dans le domaine professionnel, la chose est plus difficilement explicable dans les sphères « grand-public/TPE/artisans », pour qui l’achat d’un antivirus n’est déjà pas quelque chose de perçu comme absolument indispensable. Microsoft porte toujours une lourde part de responsabilité en continuant d’observer une superbe indifférence à tout ce qui ne porte pas sa propre marque de fabrique. Il faudra bien tôt ou tard que soit intégré au noyau, outre les mécanismes de type UAC, une fonction d’inventaire des vulnérabilités un peu moins autiste que HFNetChk/MBSA. Après tout, ce genre d’accessoire existe sous les principales distributions Linux depuis la nuit des temps.
Détail assez atypique, il semblerait que, sur le créneau des attaques visant la suite bureautique Microsoft Office, la majorité des attaques ne sont efficaces que sur les versions RTM, celles n’ayant fait l’objet d’aucune mise à jour ou colmatage par Service Pack. La chose devient d’ailleurs quasi caricaturale pour ce qui concerne les déjà très vieilles versions d’Office 2000 : il ne se trouve plus de virus à code « portable » qui accepte de ne toucher autre chose qu’un Office 2000 « sorti de sa boîte ». Un logiciel qui, pourtant, a eu lui aussi son lot de correctifs et de mises à jour. Les statistiques portant sur les autres éditions – Office XP et 2003 - prouvent, si besoin en était, que la surface de vulnérabilité décroît très nettement au fur et à mesure que s’appliquent les correctifs et Service Pack.
La suite de l’étude, plus classique, se penche sur les métriques des malwares : par région, par famille de code, par pays d’émission – les Etats-Unis et la Chine sont toujours en premières places - par secteur d’activité (le viagra arrive premier de la classe), par canal de contamination (Services Web en tête, réseaux sociaux en seconde place)… Des estimations qui ne sont guère éloignées des constatations déjà dressées par les principaux observatoires de la profession, que ce soient ceux des différents vendeurs de protection périmétrique ou des associations professionnelles telles que l’Antiphishing Working Group.