Microsoft détaille sa politique de sécurité

Bien forcé, Microsoft a admis que les applications éditées jusqu’à présent n’étaient pas suffisamment sécurisées et s’est engagé à produire dorénavant des logiciels plus difficiles à pirater, ceci afin de suivre sa stratégie dite de Trusted computing (informatique de confiance). Le premier pas pour laisser le moins de champs libre possible aux pirates consistera, dans les prochains logiciels et systèmes d’exploitation, à ne pas installer ou à désactiver par défaut la plupart des fonctions. Comme par exemple le langage VBScript que le Service Pack 1 de Windows XP (voir édition du 9 septembre 2002) désactive. Simultanément, les développeurs Microsoft sont formés pour être plus attentifs à la sécurité.

« Beaucoup des logiciels que nous avons créés dans le passé ont été moins sécurisés qu’ils n’auraient pu l’être, parce que nous étions plus focalisés sur le nombre de fonctions que sur la sécurité », a admis Craig Mundie, directeur technique de Microsoft, au cours de la conférence annuelle de RSA Security qui se déroulait à Paris du 7 au 10 octobre. Et de continuer : « Nous avons vendu de nouvelles applications en argumentant sur la présence de nouvelles fonctions que la plupart des gens n’utilisaient pas. Nous avions besoin d’une révolution culturelle et, maintenant, il nous arrive de retarder l’éclosion d’un projet pendant une longue période, le temps pour nous de vérifier le code. Notre but maintenant est de réduire la ‘surface’ de nos logiciels pour minimiser le risque d’attaques. » Palladium au centre de toutes les conversations

Au centre de cette stratégie se situe un nouveau système, déjà très controversé, connu sous le nom de code Palladium. Il sera développé dès le début en tenant compte des nouveaux impératifs de sécurisation, et inclura notamment des règles très étroites de gestion des droits numériques (digital rights management). Ces règles seront utilisées pour empêcher l’utilisation de contenus soumis à paiement ou la copie illégale d’oeuvres protégées. Palladium serait également utilisé pour n’autoriser que le lancement de logiciels certifiés. Pour compléter ce système, Intel a également annoncé un processeur intégrant un système de DRM (voir édition du 11 septembre 2002).

Profitant de sa tribune, Craig Mundie a également été critique vis-à-vis de la communauté Open source et de ses réussites dans la domaine de la sécurité. Selon lui, le fait que tout le monde puisse avoir accès au code source ne signifie pas que tout le monde le fasse. Ce qui a entraîné une réponse immédiate de la part de Simon Tindall, un des directeurs de Sun : « Ce n’est pas le niveau de sécurité du logiciel libre qui le rend si robuste, c’est la rapidité des corrections. La plupart des bogues sont corrigés dans les 24 heures. Avec Microsoft, vous êtes obligés d’attendre qu’ils soient au courant du problème, en admettant qu’il le soit. »Traduit et adapté d’un article paru sur