Microsoft coupable de négligence selon Gartner

Cloud

Selon le Gartner Group, la dernière faille en date de Windows, particulièrement grave, est le signe que Microsoft ne s’est pas engagé dans une travail sérieux de sécurisation de ses produits, quoi qu’il en dise.

Dans une note récente, le cabinet d’études Gartner Group revient sur la faille de Windows, découverte il y a huit mois par le spécialiste de la sécurité eEye Digital Security et pour laquelle Microsoft vient tout juste de publier un correctif (voir édition du 11 février 2004). Gartner souligne la gravité de ce nouveau défaut de sécurité qui affecte une technologie appelée Abstract Syntax Notation (ASN), présente dans la quasi-totalité des versions modernes de Windows, et qui est impliquée dans la plupart des processus de sécurité du système d’exploitation. Selon Gartner, cette faille, exploitée par des hackers, permettrait de lancer une attaque aussi nocive que l’a été cet été celle provoquée par le ver MSBlast. D’où l’urgence pour les particuliers comme pour les entreprises d’installer le correctif développé par Microsoft sur leurs PC et serveurs.

Outre ce conseil de bon sens, Gartner en profite pour tancer vertement Microsoft et sa politique de sécurisation de ses produits. « Cette faille ainsi que celle qui a rendu possible l’attaque dévastatrice MSBlast sont présentes dans Windows 2003 Server. Ce sont des sociétés spécialistes de la sécurité informatique ? et non Microsoft ? qui ont découvert ces deux failles ; cela montre l’insuffisance des efforts hautement médiatisés de Microsoft pour détecter les vulnérabilité dans ses produits. » Conséquence : le cabinet d’études, qui a déjà conseillé aux entreprises de ne pas utiliser Windows Server 2003 dans des applications sensibles exposées au réseau Internet avant le deuxième trimestre 2004, pourrait repousser cette date dans l’hypothèse où l’éditeur « ne s’engagerait pas publiquement à fournir des efforts considérables pour éliminer les failles de sécurité flagrantes de son système d’exploitation ».