Ouverture et Microsoft : quid de la sécurité ?

Julien Jay
Publié le 25 février 2008 à 10h26
000000DC00901648-photo-bernard-ourghanlian-microsoft-france.jpg
Microsoft créait la surprise en annonçant la semaine dernière, son intention d'ouvrir certains protocoles jusque là considérés comme secrets industriels (voir Microsoft infléchit sa stratégie et ouvre ses secrets). En promettant de mettre en ligne une documentation d'un peu plus de 30 000 pages sur certains protocoles utilisés par Windows et Office, Microsoft a suscité de nombreuses réactions comme relatés dans cette brève. Parmi les nombreuses réactions suscitées par cette annonce, certains s'interrogeaient sur les problématiques en matière de sécurité logicielle. Une question légitime que nous avons posée à Bernard Ourghanlian, directeur technique et sécurité pour Microsoft France :

Clubic.com : Qu'implique, en terme de sécurité et de risque potentiel pour l'entreprise et pour l'utilisateur, l'ouverture des protocoles et autres API des produits « high volume » de Microsoft ? Ne risque-t'on pas de voir certains petits malins éplucher les documentations à la recherche de failles dont ils pourraient tirer profit afin de mettre à mal l'intégrité de l'environnement Windows ? Je suppose que Microsoft a bien entendu pris en compte cette problématique : comment comptez-vous l'adresser ?

Bernard Ourghanlian : D'une façon générale, à mon sens, la « sécurité par l'obscurité », cela n'a jamais fonctionné... Autrement dit, ce n'est pas le fait de documenter nos API et nos protocoles qui devrait changer quoi que ce soit à la sécurité de nos produits. De même que je n'ai jamais cru au fait que la possibilité de diffuser largement le code source des logiciels permettait obligatoirement d'en améliorer la sécurité... Je partage en ce sens l'avis de Ross Anderson (voir ce lien) qui ne peut pourtant pas être taxé de grand ami de Microsoft.

Pour être plus précis, cela fait maintenant 2 ans que l'on a systématisé la mise en œuvre d'outils de fuzzing qui permettent de tester des utilisations incorrectes de l'ensemble de nos API et de nos protocoles (et aussi de nos formats de fichiers). Ces outils nous ont permis de découvrir de nombreux bugs dans nos logiciels qui ont été corrigés depuis la sortie de Windows Vista, Office 2007, Exchange 2007, Windows Server 2008, Windows XP SP3, etc. Il y a donc des éventualités de problèmes induits par cette documentation avec les versions précédentes de nos logiciels mais tout devrait normalement bien se passer avec les nouvelles versions.

Ces outils de fuzzing ne sont toutefois pas mis à la disposition de nos clients car ils peuvent aussi malheureusement se transformer en outils d'attaque très puissants. Nous avons donc pris la décision de ne pas les publier malgré leur incontestable intérêt.
Julien Jay
Par Julien Jay

Passionné d'informatique depuis mon premier Amstrad 3086 XT et son processeur à 8 MHz, j'officie sur Clubic.com depuis ses presque débuts. Si je n'ai rien oublié d'Eternam, de MS-DOS 3.30 et de l'ineffable Aigle d'Or sur TO7, je reste fasciné par les évolutions constantes en matière de high-tech. Bercé par le hardware pur et dur, gourou ès carte graphique et CPU, je n'en garde pas moins un intérêt non feint pour les produits finis, fussent-ils logiciels. Rédacteur en chef pour la partie magazine de Clubic, je fais régner la terreur au sein de la rédaction ce qui m'a valu quelques surnoms sympathiques comme Judge Dredd ou Palpatine (les bons jours). Mon environnement de travail principal reste Windows même si je lorgne souvent du côté de Mac OS X.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles