Peut-on faire confiance aux logiciels Microsoft ?

Encore un ! Après I love you et ses dérivés (voir édition du 19 mai 2000), un nouveau virus, nommé lui Cybernet, menace de se répandre. Les éditeurs d’anti-virus semblent l’avoir découvert le 25 mai et le décrivent comme moyennement dangereux. Mais ce qui frappe surtout, c’est qu’une fois encore, il s’agit d’un virus macro, qui ne s’attaque qu’aux produits de Microsoft. Pouvant indifféremment provoquer des dégâts dans Word et Excel (97 et 2000), il atteint ses victimes par l’intermédiaire d’un courrier électronique dont le sujet est « You’ve GOT Mail !!! ». Le corps du message indique (en anglais) : « Sauvegarder ce document après l’avoir lu, et ne le montrez à personne d’autre. Il ne contient AUCUN VIRUS, donc ne tenez pas compte du message d’alerte de votre anti-virus !!! ». Un fichier nommé « infected.doc » est joint au message. Le virus fonctionnerait de la même façon que Melissa, qui avait défrayé la chronique l’année dernière (voir édition du 30 mars 1999). Autrement dit, pour se répandre, il pioche les 50 premières adresses stockées dans le carnet d’Outlook.

Les logiciels de Microsoft sont-ils donc si perclus de trous de sécurité qu’il faille absolument les éviter ? En tout cas, ces alertes à répétition n’en finissent pas d’apporter de l’eau au moulin des détracteurs de tout poil des produits de l’éditeur de Redmond. Toutefois, pour Gilles Kahn, Directeur scientifique de l’Inria, il faut garder la tête froide. « Cet état de fait provient essentiellement de l’esprit ‘Far West’ qui règne dans l’industrie du logiciel. Il est incontestable que l’évolution technique et la concurrence a amené les industriels pris dans cette concurrence à sortir des logiciels plus jeunes et moins ‘bétonnés' ». Comme exemple, il cite Internet Explorer, arrivé très en retard sur le marché des butineurs, et pour lequel Microsoft à du mettre les bouchées doubles pour rattraper son retard par rapport à Netscape. « De leur côté, des systèmes comme Unix et Linux, évoluent plus lentement ». Une remarque à laquelle on pouvait s’attendre de la part d’un des grands défenseurs du logiciel libre…

Linux est-il donc tellement plus sûr que Windows ? « Pas du tout ! », répond le même Gilles Kahn. « Ce système, comme Unix, est également plein de trous de sécurité ». Selon lui, il est aussi facile de programmer un virus pour Linux que pour Windows. « A l’instar de VBScript, incriminé dans le problème I love you, on peut très bien fabriquer un virus avec Postscript (le langage de description de page de nombreuses imprimantes laser, ndlr). On ne le sait guère, mais il s’agit d’un véritable langage de programmation. Il nous arrive même à l’Inria, de demander, par erreur évidemment, à une imprimante de résoudre un problème mathématique ! ». Au delà de la plaisanterie, cela signifie que c’est la possibilité de joindre un fichier exécutable à un message électronique qui pose le principal problème. Et c’est une menace pour tous les systèmes sans exception.

Pourquoi, alors, les outils Microsoft sont-ils plus visés que les autres ? « Du fait de son déploiement quasi universel », explique Gille Kahn. « Cela en fait la cible idéale ». Un avis que partage Eyal Dotan, concepteur du logiciel anti-virus Viguard, le seul a avoir arrêté I love you. « C’est surtout parce que les logiciels Microsoft sont les plus répandus à travers le monde qu’il y a des virus sur les plate-formes Microsoft. Tout d’abord, un virus qui se propagerait d’un système Linux vers un autre système Linux ne disposerait pas d’assez de stations Linux dans le monde pour que la chaîne soit assez longue pour générer une réelle propagation. Il resterait par conséquent un ‘virus de laboratoire’. De plus, un auteur de virus est beaucoup plus intéressé à cibler la majorité des systèmes de la planète plutôt que de ne cibler qu’une faible partie des ordinateurs de la planète ». Pendant de cette explication, Eyal Dotan explique également que certaines fonctionnalités facilitent la pénétration et la propagation de virus, notamment des logiciels Microsoft. « Par exemple, les macros automatiques ou encore l’exécution automatique de routines VBS, ont posé des problèmes de sécurité ».

Pour Frédéric Favre, Responsable marketing des produits système et plate-forme Windows chez Microsoft,« le problème des virus est avant tout un problème d’éducation. Les exécutables en attachement peuvent toucher n’importe quoi. Ni l’OS, ni l’application, ne sont en cause ». Pour lui, il faut faire la différence entre bogue et sécurité. « Les bogues sont de notre responsabilité, la sécurité est de celle des utilisateurs », insiste-t-il. Pour lui, il est impossible de garantir un produit sans tâche. « Windows 2000 a été débogué pendant 8 mois en France, avant sa sortie. Mais rien ne vaut le test en vie réelle », explique-t-il. « Mais cela n’a rien à voir avec les virus. Les entreprises qui refusaient toute pièce jointe dans les mails n’ont pas été touchées par I love you », donne-t-il en exemple. Un discours un peu dur à entendre pour des utilisateurs à la maison, moins au fait de la sécurité. Là, la réponse est moins tranchante. « Il faudrait prévenir toutes les imprudences des utilisateurs novices, et ce n’est pas possible avec un système ouvert. Nous avons toujours l’intention de laisser le choix à nos utilisateurs de pouvoir ‘bidouiller’ le système pour leur plaisir ». Par définition, la sécurité est contraignante, une notion difficilement compatible avec la distribution au grand public…