Vista prêt à en découdre avec les failles de sécurité

David Maume

01net.

le 29/01/2007 à 18h28

3 réactions

envoyer
par mail

imprimer
l'article

Après cinq ans d’attente, Vista déferle partout dans le monde. Interface graphique, outil de recherche, gestion du multimédia… Microsoft propose un système censé pouvoir répondre aux besoins technologiques de ces cinq prochaines années. Fortement critiqué pour ses retards à répétition, le géant américain affirme avoir consacré beaucoup de temps à la sécurité de son système. Aussi la découverte d’une demi-douzaine de failles de sécurité dans Vista le mois dernier par un pirate russe et une start-up américaine a-t-elle déclenché de vives critiques. Windows Vista est-il une “ passoire ” comme l’annoncent certains détracteurs de Microsoft ? Pour les experts de la sécurité, rien ne permet de l’affirmer à ce jour.

“ Les failles récemment découvertes ne sont pas dangereuses. L’une d’entre elles permet à un utilisateur d’augmenter ses droits [pour modifier les paramètres sensibles du système, NDLR]. Encore faut-il qu’il dispose d’un compte (avec login et mot de passe) sur le PC en question ”, explique Didier Godart, PDG de DGOzone et auteur de Sécurité informatique : risques, stratégies et solutions. Pour cet expert, la découverte de failles mineures n’est pas étonnante et ne met pas en cause la qualité de Vista.

Impossible d'échapper aux failles

“ Les failles sont inhérentes au développement logiciel. Elles reposent sur des erreurs de programmation. Or, détecter absolument toutes les erreurs est impossible même avec des moyens financiers comme ceux dont dispose Microsoft ”, explique Didier Godart. “ L'éditeur américain a beau avoir utilisé une nouvelle méthodologie de développement centrée sur la sécurité (SDL pour Security Development Lifecycle), des failles seront à coup sûr découvertes dans Vista ”, ajoute Amol Sarwate, responsable du laboratoire de gestion des vulnérabilités chez Qualys, un éditeur spécialisé dans la lutte contre les failles.

Pour Didier Godart, le nombre de failles contenues dans un logiciel est proportionnel au nombre de lignes de code nécessaires à la conception du logiciel. Vista qui contient 68 millions de lignes de code (soit deux fois plus que Windows XP) est donc fortement exposé. “ La découverte de vulnérabilités va à coup sûr s’accélérer ces prochaines semaines avec la commercialisation à grande échelle du système. Les failles sont déjà là et de plus en plus d’experts vont passer du temps à les chercher ”, prévient Didier Godart.

Comment dès lors éviter le pire ? “ La meilleure démarche est de sensibiliser les gens à la bonne cause, c’est-à-dire de les inciter à communiquer spontanément la découverte d’une faille à l’éditeur ”, estime Didier Godart. Microsoft a ainsi défini depuis longtemps un protocole de divulgation volontaire qui invite les experts à lui communiquer confidentiellement la découverte d’une faille. En échange, le nom de l’expert et/ou de sa société est cité dans les bulletins de sécurité publiés par Microsoft.

8 000 dollars pour chaque trou de sécurité

Idefense Labs, une filiale de Verisign, va encore plus loin. Elle promet 8 000 dollars (assortis d’un bonus oscillant entre 2 000 et 4 000 dollars selon la qualité des explications fournies) à qui découvrira une faille critique dans Vista ou Internet Explorer 7. “ La démarche est pertinente dans la mesure où elle permet de mobiliser les chercheurs du monde entier à moindre frais ”, estime Didier Godart. “ Nous ne cautionnons pas ce genre de pratiques qui peuvent mener à des surenchères détestables ”, commente quant à lui Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Pour réduire les risques, l’éditeur a préféré intégrer de nouveaux mécanismes qui limitent la gravité d’éventuelles attaques exploitant des failles non détectées. Les programmeurs sont ainsi mieux armés contre les dépassements de mémoire (buffer overflow) qui consistent à saturer une zone mémoire pour accéder à des ressources non autorisées. Une autre amélioration est la technologie ASLR (Address Space Layout Randomization). Celle-ci consiste lors de la phase de démarrage à disséminer au hasard dans la mémoire (une adresse parmi 256 possibles à chaque fois) les programmes (DLL, .EXE, etc.). “ Localiser et exploiter les logiciels chargés en mémoire devient beaucoup plus difficile pour les malwares ”, assure Amol Sarwate. Enfin, Vista gère aussi de manière beaucoup plus restrictive les droits associés aux utilisateurs et aux services systèmes (fonction clé qui tourne en permanence en arrière-plan).

Ces nouveaux garde-fous suffiront-ils ? L’heure de vérité a sonné pour Vista. Et quelle que soit la confiance qu’ils accordent à Microsoft, les entreprises et les particuliers qui s’apprêtent à installer Vista devront rester vigilants.