En 2006, Microsoft a corrigé 133 vulnérabilités oecritiques? ou oeimportantes?, soit plus du double des correctifs publiés en 2005. Ces données ont été révélées dans un rapport de l’éditeur de solutions de sécurité McAfee.

Microsoft et McAfee explique cette recrudescence des vulnérabilités par un certain nombre de facteurs. Mais aucun des motifs avancés ne suggère une quelconque défaillance en termes de niveau de qualité du code de Microsoft.

Dave Marcus, directeur de la communication et des recherches en sécurité chez McAfee, a confié son point de vue à Vnunet.com, expliquant que la responsabilité n’incombait pas nécessairement aux logiciels de Microsoft mais plutôt à leur popularité générale qui en fait une cible privilégiée pour les exploits et codes malveillants en perpétuelle expansion.

« Lorsque l’on évoque le problème des vulnérabilités, l’existence d’une vulnérabilité en tant que telle ne signifie pas une augmentation des risques » , explique Dave Marcus. « L’augmentation des vulnérabilités critiques signifie en réalité une simple augmentation des vulnérabilités détectées ; ces vulnérabilités existaient déjà auparavant. »

Le chercheur ajoute qu’il serait pratiquement impossible de détecter et de supprimer toutes les vulnérabilités potentielles dans une application comme Windows ou Office, qui peut contenir plusieurs millions de lignes de code.

Les chercheurs de vulnérabilités et les auteurs de malwares s’intéressent essentiellement aux vulnérabilités critiques. Dans la mesure où elles peuvent être exploités pour installer des logiciels espions et autres logiciels malveillants, elles s’avèrent d’une grande utilité pour l’exploitation commerciale. « La vulnérabilité critique est véritablement le Saint Graal des pirates », indique Dave Marcus.

De son côté, Mark Miller, directeur du Microsoft Security Response Centre, reconnaît que « l’augmentation de la valeur spéculative » [increased monetary value dans le texte initial, ndlr] liée à la découverte et à l’exploitation de failles de sécurité incite à détecter des vulnérabilités toujours plus nombreuses.
« Je pense que l’augmentation des vulnérabilités affecte l’ensemble du secteur », ajoute-t-il. « L’augmentation des vulnérabilités Microsoft en est l’un des effets. »

Dave Marcus estime que la domination du marché par Microsoft a fait de l’éditeur une cible de choix, tant pour les chercheurs de sécurité que pour les auteurs de malwares, et que les applications moins populaires génèrent un nombre de victimes potentielles plus réduit. « Le fait de cibler des attaques qui favorisent le profit représente un marché juteux », conclut-il.

Si les deux experts reconnaissent que les nouvelles fonctions de sécurité introduites dans Windows Vista devraient réduire nombre de vulnérabilités critiques détectées l’année prochaine, Microsoft et McAfee insistent sur le fait que Vista ne fera pas de miracles sur les menaces de sécurité.

« Je pense que [Vista] aura un effet positif sur ce que peuvent faire certaines de ces vulnérabilités. Mais il nous faudra attendre longtemps avant de pouvoir minimiser l’impact de certains types de failles, » déclare Dave Marcus. « Mais, en fin de compte, la vulnérabilité affecte directement le code, et les pirates trouveront toujours des vulnérabilités dans le code. »

Dans une entrevue accordée à Vnunet.com, Jeff Jones, directeur de la division technologies de sécurité chez Microsoft, a émis certaines réserves. Si Vista bénéficie de fonctions de sécurité améliorées, il convient selon lui de rappeler la grande stabilité qui caractérise l’ensemble de la gamme de produits de Microsoft.
Nombreux sont les produits de Microsoft qui doivent encore être soumis au programme de développement de sécurité de l’éditeur.

« Nous ajoutons un nouveau produit à la liste. [Le rapport McAfee] concerne l’ensemble de nos produits. Il convient donc de faire la distinction entre le nombre de produits que nous possédons et ce produit en particulier « , ajoute-t-il.

Dave Marcus estime dans l’ensemble que la tendance des vulnérabilités détectées dans les produits Microsoft devrait se maintenir en 2007. « Nous assisterons à une hausse croissante du nombre des vulnérabilités. Théoriquement, plusieurs dizaines de milliers de vulnérabilités attendent d’être découvertes, «  indique-t-il.

Pourtant, Dave Marcus refuse de blâmer la firme de Redmond. « Au vu de l’ensemble des vulnérabilités critiques détectées, Microsoft s’emploie toujours à corriger les failles aussi rapidement que possible », commente-il.  » L’éditeur met en oeuvre tous les moyens nécessaires pour tenter de corriger les vulnérabilités dans les meilleurs délais. Et en fin de compte, nul ne peut demander davantage. « 

Traduction d’un article de Vnunet.com en date du 15 décembre 2006