Passer au contenu

Microsoft à l’école de la sécurité

Pour réussir à développer des logiciels fiables, l’éditeur devra revoir intégralement ses pratiques.

Dans un mémo largement diffusé, Bill Gates vient de fixer comme priorité à ses équipes le respect du “trustworthy computing”, une politique visant à rendre infaillibles les produits et services de Microsoft. Cette déclaration d’intention nécessitera un profond changement de culture pour l’éditeur. Dorénavant, fiabilité, sécurité et respect de la vie privée passeront avant toute autre considération ?” notamment l’ajout de nouvelles fonctions. Un véritable défi pour l’éditeur, qui doit en partie son succès au lancement régulier de nouvelles versions de ses logiciels, mais pas à leur qualité. Ce temps est révolu.

Retour à la case formation pour 7 000 développeurs Windows

“Dès maintenant, quand il s’agira de choisir entre ajouter un nouvel outil et répondre à un problème de sécurité, nous devrons privilégier la seconde option”, écrit Bill Gates. Un changement qui implique un passage à l’école. “Les failles de sécurité dans les produits Microsoft sont triviales et les conséquences catastrophiques, juge Alfred Huger, vice-président en charge de l’ingénierie chez Securityfocus, un fournisseur de services en sécurité. Surtout quand on sait que quelques jours de formation suffiraient pour éviter ces erreurs. Les employés Microsoft sont loin d’être mauvais. C’est juste qu’on ne leur a pas enseigné la sécurité.” Un message visiblement reçu. Les sept mille développeurs de la division Windows vont tous avoir droit à une formation à la sécurité de un mois.Positif, mais pas suffisant. Plus le nombre de lignes de code est important, plus le nombre de bogues augmente, plus la probabilité d’une faille de sécurité croît. “Je suis certain que les développeurs de Microsoft vérifient à 99,99 % les limites de buffer (*) pour se prémunir contre les attaques par débordement de buffer. Mais il suffit d’un employé commettant une erreur et tout le logiciel se trouve en danger”, explique Izhar Bar Gad, responsable de Sanctum, un éditeur de logiciels de sécurité. Moins de fonctions, moins de lignes de code : le développement de logiciels sûrs va à l’encontre des pratiques des éditeurs.(*) Faille souvent rencontrée, permettant d’exécuter un code dangereux en envoyant plus de données qu’elle ne peut en recevoir à une zone mémoire.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Ludovic Nachury