La sécurité a longtemps été le talon d'Achille de Microsoft. Pourtant, depuis 2002, la firme de Redmond tente de remédier à ce problème récurrent, avec une démarche censée intégrer la sécurité dans le développement de ses logiciels et systèmes. Ce que Microsoft appelle l'informatique de confiance fait-elle ses preuves ?
Que l'on aime ou que l'on déteste Microsoft, il est indéniable que la firme de Redmond tient une place unique dans le paysage de l'informatique mondiale, de par sa taille et sa domination, toujours importante, Windows demeurant un système d'exploitation massivement utilisé. D'où l'intérêt de se pencher sur sa stratégie de sécurité, ce que nous avons pu faire en rencontrant plusieurs membres des équipes en charge de la sécurisation des produits Microsoft : la division Trustworthy Computing.
« Trustworthy computing ». La notion d'informatique de confiance est en fait, à la base, le sujet d'un e-mail interne de Bill Gates. Celui-ci s'émeut, en 2002, des inquiétudes des clients, professionnels comme particuliers concernant la sécurité de leur système. Depuis, Microsoft a progressivement mis en place une démarche, notamment connue sous le nom de Security Development Lifecycle (SDL). Le but ? Intégrer au processus de développement la notion de sécurité, selon plusieurs étapes allant de la formation des développeurs et ingénieurs à la correction des vulnérabilités après le lancement, en passant par le design et l'audit. La mise en place de ce processus explique la longue attente avant la disponibilité du Service Pack 2 de Windows XP, qui allait beaucoup plus loin qu'un simple ensemble de correctifs pour modifier les fondations de l'OS en lui apportant de nombreuses fonctionnalités.
Après avoir intégré cette démarche à ses propres produits, Microsoft cherche à l'étendre à ses partenaires industriels. Alors que l'initiative semble porter ses fruits depuis Windows Vista et surtout 7, et en pleine explosion des attaques portant sur le vol de données personnelles sur de nombreux sites, le « trustworthy computing » made in Microsoft est-elle une solution pertinente ? Revenons sur l'historique et la logique de sécurité de la firme de Redmond !
L'épreuve d'Internet : le choc des années 2000
L'informatique, notamment en entreprise, a connu une nette évolution des menaces avec le développement d'Internet, et Microsoft a en quelque sorte accusé le coup. Directeur Senior de la division Trustworthy Computing de Microsoft, Steve Lipner revient sur cette mutation : « Pendant longtemps, les problèmes de sécurité dans l'entreprise étaient considérés comme secondaires. Les seules menaces réelles provenaient de l'intérieur. C'est toujours le cas aujourd'hui, mais depuis le développement de l'Internet les menaces viennent principalement de l'extérieur : les gens échangent des informations hors de l'entreprise, ils se connectent à Internet ou sur des réseaux locaux ». La situation finit par virer à la catastrophe en 2001 : le tout nouveau Windows XP est victime de menaces telles que Blaster et ses déclinaisons, et d'une grosse faille de sécurité au niveau de l'UPnP.
Vient alors l'e-mail de Bill Gates et la volonté de replacer la sécurité au centre du développement de Windows : « Comme j'en ai discuté avec nos clients au cours de l'année passée – des particuliers aux grandes entreprises – tout le monde reconnaît le rôle de plus en plus important que jouent les ordinateurs dans notre vie. En même temps, la plupart des gens à qui je parle sont inquiets par rapport à la sécurité des technologies dont ils dépendent … ».
Néanmoins, entre cette prise de conscience et son aboutissement, la firme de Redmond avance à tâtons. La première étape, rappelle Steve Lipner, est la sensibilisation des équipes aux problématiques de sécurité : « Nous avons réuni l'ensemble de nos connaissances sur le problème, puis nous avons dit aux employés d'arrêter leur travail en cours, et d'aller se former. Nous avons mis en place des sessions où les développeurs pouvaient apprendre à créer un code sécurisé »
Viennent ensuite plusieurs étapes, telles que la « Security Science », qui consistait à découvrir de nouvelles classes de vulnérabilités dans le logiciel, puis de les résoudre, ainsi qu'une phase d'audit où une autre équipe analysait le code afin de déterminer sa qualité.
Selon Steve Lipner, cette approche a porté ses fruits, notamment sur SQL Server, mais se confrontait à ses limites : développer un logiciel, puis le soumettre à des améliorations de sécurité n'était pas viable : « Ce que nous voulions, c'était intégrer la sécurité au niveau du développement, mais également dès la phase de conception, ce que nous avons fait début 2004 avec le Security Developpement Lifecycle, ou SDL ».
Aucun commentaire:
Enregistrer un commentaire