nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 19 €/mois
Abonnez-vous à la version digitale
B. Ourghanlian (Microsoft) : « La sécurité est une école de l’humilité »
Après les mises en garde de la France et de l’Allemagne contre une faille d'Internet Explorer, Microsoft et son navigateur traversent une mauvaise passe. Bernard Ourghanlian, directeur de la technique et de la sécurité de Microsoft France, revient sur le sujet.
01net. : Avec l'affaire du piratage de Google, Internet Explorer est montré du doigt. Quel regard portez-vous sur cette situation ?
Bernard Ourghanlian : La faille de sécurité utilisée dans le cas de l'affaire du piratage de Google concernait Internet Explorer 6 essentiellement. Internet Explorer 7 et 8 sont mentionnés mais la faille y était beaucoup plus difficile à exploiter en raison des dispositifs de protection dont disposent ces deux navigateurs. Nous avons par ailleurs très rapidement publié un correctif.
La surmédiatisation de cette affaire est peut-être due au fait qu'il s'agissait de Google et de la Chine. C'est aussi la rançon de la gloire pour Internet Explorer en tant que leader de son marché. Il y a toujours eu des failles de sécurité, il y en a et il y en aura. Si l'on regarde les statistiques (1), Internet Explorer est loin d'être le navigateur le plus défaillant. Firefox tient la palme dans ce domaine et Google est prêt à payer toute personne découvrant une vulnérabilité dans Chrome… La sécurité est une école de l'humilité.
Bernard Ourghanlian : La faille de sécurité utilisée dans le cas de l'affaire du piratage de Google concernait Internet Explorer 6 essentiellement. Internet Explorer 7 et 8 sont mentionnés mais la faille y était beaucoup plus difficile à exploiter en raison des dispositifs de protection dont disposent ces deux navigateurs. Nous avons par ailleurs très rapidement publié un correctif.
La surmédiatisation de cette affaire est peut-être due au fait qu'il s'agissait de Google et de la Chine. C'est aussi la rançon de la gloire pour Internet Explorer en tant que leader de son marché. Il y a toujours eu des failles de sécurité, il y en a et il y en aura. Si l'on regarde les statistiques (1), Internet Explorer est loin d'être le navigateur le plus défaillant. Firefox tient la palme dans ce domaine et Google est prêt à payer toute personne découvrant une vulnérabilité dans Chrome… La sécurité est une école de l'humilité.
Comment jugez-vous les réactions du Certa (2) en France et du BSI en Allemagne, qui ont conseillé aux internautes d'utiliser un navigateur alternatif le temps qu'un correctif soit publié ?
L'avis émis par le Certa nous a semblé un peu exagéré. Il s'adressait principalement au milieu professionnel et aux administrations. Or il était difficilement applicable car il est délicat de déployer un nouveau navigateur dans un environnement informatique du jour au lendemain. En France, nous ne connaissons pas un seul client qui ait subi une attaque à cause de cette faille et nous n'avons eu aucune remontée en ce sens de notre support technique.
L'avis émis par le Certa nous a semblé un peu exagéré. Il s'adressait principalement au milieu professionnel et aux administrations. Or il était difficilement applicable car il est délicat de déployer un nouveau navigateur dans un environnement informatique du jour au lendemain. En France, nous ne connaissons pas un seul client qui ait subi une attaque à cause de cette faille et nous n'avons eu aucune remontée en ce sens de notre support technique.
Pensez-vous que Microsoft ait adopté la bonne méthodologie en matière de sécurité pour Internet Explorer ?
Nous avons fait des progrès mais il reste du travail. Je dirai que Chrome est certainement le plus avancé dans ce domaine. Il y a cinq ans, 95 % des attaques se concentraient sur les systèmes d'exploitation. Aujourd'hui cette proportion s'applique aux navigateurs et aux applications comme Flash, Real Audio, etc.
Nous avons fait des progrès mais il reste du travail. Je dirai que Chrome est certainement le plus avancé dans ce domaine. Il y a cinq ans, 95 % des attaques se concentraient sur les systèmes d'exploitation. Aujourd'hui cette proportion s'applique aux navigateurs et aux applications comme Flash, Real Audio, etc.
« Le recours à notre navigateur pour attaquer un Etat ou une compagnie est la meilleure option pour un pirate »
Internet Explorer 8 a mis presque un an à dépasser IE6, qui est encore le deuxième navigateur le plus utilisé dans le monde, loin devant IE7. Comment expliquez-vous cette situation ?
Beaucoup d'entreprises utilisent encore Windows XP, dans lequel IE6 était préinstallé. Déployer un système informatique nécessite du temps et de l'argent. Changer de version de navigateur suppose de requalifier les applications professionnelles utilisées, c'est pourquoi les entreprises préfèrent en général passer directement à un nouvel environnement en changeant d'OS. Les entreprises sont en train de migrer vers Windows 7, ce qui devrait favoriser le décollage d'IE8.
Beaucoup d'entreprises utilisent encore Windows XP, dans lequel IE6 était préinstallé. Déployer un système informatique nécessite du temps et de l'argent. Changer de version de navigateur suppose de requalifier les applications professionnelles utilisées, c'est pourquoi les entreprises préfèrent en général passer directement à un nouvel environnement en changeant d'OS. Les entreprises sont en train de migrer vers Windows 7, ce qui devrait favoriser le décollage d'IE8.
La fenêtre à choix multiple que vous allez implanter à partir de la mi-mars dans Windows n'aura-t-elle pas une incidence sur cette transition d'IE 6 à IE8 ?
Je pense que cela ne se produira pas dans le milieu professionnel car les utilisateurs ne pourront pas décider individuellement quel navigateur ils préfèrent utiliser. C'est l'entreprise qui décide de l'environnement qu'elle veut déployer et qui avise en fonction de la réalité du marché.
Internet Explorer est aujourd'hui le seul navigateur à disposer des fonctions propres à permettre un déploiement en entreprise à travers un parc informatique. C'est d'ailleurs pour cette raison que le recours à notre navigateur pour attaquer un Etat ou une compagnie est la meilleure option pour un pirate.
Je pense que cela ne se produira pas dans le milieu professionnel car les utilisateurs ne pourront pas décider individuellement quel navigateur ils préfèrent utiliser. C'est l'entreprise qui décide de l'environnement qu'elle veut déployer et qui avise en fonction de la réalité du marché.
Internet Explorer est aujourd'hui le seul navigateur à disposer des fonctions propres à permettre un déploiement en entreprise à travers un parc informatique. C'est d'ailleurs pour cette raison que le recours à notre navigateur pour attaquer un Etat ou une compagnie est la meilleure option pour un pirate.
Que pensez-vous de la décision de Google de ne plus assurer la compatibilité avec d'anciennes versions des navigateurs, dont IE6 ?
Du point de vue de l'engineering, cette décision se tient, car le support de multiples versions a un coût. D'un point de vue stratégique, c'est un risque marketing que prend Google. Soit les utilisateurs [les entreprises, NDLR] changent tout pour passer sur leur système, soit ils vont se fermer un marché. Par ailleurs, les Google Apps ne sont pas très répandues en entreprise.
Du point de vue de l'engineering, cette décision se tient, car le support de multiples versions a un coût. D'un point de vue stratégique, c'est un risque marketing que prend Google. Soit les utilisateurs [les entreprises, NDLR] changent tout pour passer sur leur système, soit ils vont se fermer un marché. Par ailleurs, les Google Apps ne sont pas très répandues en entreprise.
44 % des vulnérabilités découvertes au premier semestre 2009 touchent Firefox, selon Cenzic.
agrandir la photo
1. Bernard Ourghanlian fait référence à un rapport de Cenzic, une firme spécialisée dans les solutions de sécurité pour les sites web qui a réalisé un classement des navigateurs en fonction de leurs vulnérabilités. La période couverte concerne les 1er et 2e trimestres 2009.
2. Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques
Actu précédente
Actu Suivante
Avis sur «B. Ourghanlian (Microsoft) : « La sécurité est une école de l’humilité »»
Le site qui nique Microsoft !
de
la redaction
, posté le 03 février 2010 à 20h02
alerter le modérateur
Bah oui
de
Tordman
, posté le 03 février 2010 à 20h09
Le mec a bien parler, "La sécurité est une école de l'humilité", et effectivement même si ca ne se sait que dans le milieu (c'est pas Firefox qui va se vanter, même si ils osent casser du sucre sur le dos des autres), c'est Firefox qui a le rapport de sécurité le moins favorable par rapport aux nombres de failles découvertes et le nombre d'utilisateur.
Tout comme un système linux (je ne parle pas des serveurs qui eux sont configurer différemment et possède une sécurité élevé) possède un nombre de faille de sécurité découverte extraordinaire rapport aux nombres d'utilisateurs.
Tout comme un système linux (je ne parle pas des serveurs qui eux sont configurer différemment et possède une sécurité élevé) possède un nombre de faille de sécurité découverte extraordinaire rapport aux nombres d'utilisateurs.
alerter le modérateur
bah non
de
V1nce
, posté le 04 février 2010 à 01h20
>Tout comme un système linux possède un nombre de faille de sécurité découverte extraordinaire rapport aux nombres d'utilisateurs.
Le nombre de lignes de code est proportionnel au nombre d'utilisateurs, c'est évident...
Réfléchis la prochaine fois
Le nombre de lignes de code est proportionnel au nombre d'utilisateurs, c'est évident...
Réfléchis la prochaine fois
alerter le modérateur
TOUS VULNERABLE!!!
de
huygens666
, posté le 04 février 2010 à 04h02
de toute façon la en ce moment sa touche IE 6,7,et 8 demain sa peut etre chrome, firfox linux ect...
chaque navigateurs ont un point faible une faille , les technologie ordinateurs devient de plus en plus puissant ect..
PS: linux je vous met en garde ne ditent pas que linux s'est le meilleur parce que les pingouins ils me saoulent ditent rien lisez , arretez de dirent blabla c'est le meilleur patati patata vous etes des vrais commeres.
point barre.
chaque navigateurs ont un point faible une faille , les technologie ordinateurs devient de plus en plus puissant ect..
PS: linux je vous met en garde ne ditent pas que linux s'est le meilleur parce que les pingouins ils me saoulent ditent rien lisez , arretez de dirent blabla c'est le meilleur patati patata vous etes des vrais commeres.
point barre.
alerter le modérateur
pourquoi ?
de
Viva-Ubuntu
, posté le 04 février 2010 à 06h03
t'aime pas les zanimaux ?, c'est zouli un petit goingoin...
alerter le modérateur
@huygens666
de
Super Penguin
, posté le 04 février 2010 à 10h56
T'est bien un rigolo, j'ai l'impression que tu ne sais pas comment marche l'informatique !!
Arrête de dire des âneries, on s'en fout que tu préfère Windaube, c'est ton problème !
Ce qui est bizarre c'est que les failles sont exploitables sous Windaube, mais sous Linux pas des soucis, car Linux est plus sécurisé que Windaube ! C'est encore plus difficile d'exploiter une éventuelle faille ! Et quand bien même il faut que tu autorise l'intrus !
As tu déjà vu un message sous Windaube quand tu navigue sur certains sites du genre : Attention, un script essaie d'écrire sur votre disque ! Voulez vous autoriser cette écriture !
Alors évidemment, la réponse et non ! Et si voudrais, il n'y a que le Root qui peut écrire en dehors de ton home !
Ce genre de script écrit des cochonneries sur ton disque voir des virus ! C'est une chose impossible sous Linux ou alors il faut que tu sois nul pour autoriser ça !
En clair sous Windows, la porte de ta maison est toujours ouverte, alors que sous Linux elle est fermée et avant d'entrer, il faut sonner et s'identifier pour entrer !
Alors oui va jouer avec Windaube et arrête tes critiques sur la famille Unix, il n'y a pas que Linux !
Arrête de dire des âneries, on s'en fout que tu préfère Windaube, c'est ton problème !
Ce qui est bizarre c'est que les failles sont exploitables sous Windaube, mais sous Linux pas des soucis, car Linux est plus sécurisé que Windaube ! C'est encore plus difficile d'exploiter une éventuelle faille ! Et quand bien même il faut que tu autorise l'intrus !
As tu déjà vu un message sous Windaube quand tu navigue sur certains sites du genre : Attention, un script essaie d'écrire sur votre disque ! Voulez vous autoriser cette écriture !
Alors évidemment, la réponse et non ! Et si voudrais, il n'y a que le Root qui peut écrire en dehors de ton home !
Ce genre de script écrit des cochonneries sur ton disque voir des virus ! C'est une chose impossible sous Linux ou alors il faut que tu sois nul pour autoriser ça !
En clair sous Windows, la porte de ta maison est toujours ouverte, alors que sous Linux elle est fermée et avant d'entrer, il faut sonner et s'identifier pour entrer !
Alors oui va jouer avec Windaube et arrête tes critiques sur la famille Unix, il n'y a pas que Linux !
alerter le modérateur
Comme d'ab
de
nimporteQuoi !
, posté le 04 février 2010 à 13h33
"Ce genre de script écrit des cochonneries sur ton disque voir des virus ! C'est une chose impossible sous Linux ou alors il faut que tu sois nul pour autoriser ça !"
Ahh donc si ca marche sous windows c'est la faute de l'OS ... si ca marche sous linux c'est la faute de l'utilisateur ...
Interressant ...
Sinon tu sais qu'une faille d'exploiter un truc de l'OS normalement infaisable ? Si tu le savais tu dirais ptet moins d'anneries ...
Enfin je dois être un gros fanboy qui dénigre tous les 4 mots un OS que je n'utilise pas .. ahh non c'est toi :/
Y'a pas a dire, c'est pas la vente lié qui casse Linux, c'est des types comme toi irrespectueux et faussement élitiste ...
Ahh donc si ca marche sous windows c'est la faute de l'OS ... si ca marche sous linux c'est la faute de l'utilisateur ...
Interressant ...
Sinon tu sais qu'une faille d'exploiter un truc de l'OS normalement infaisable ? Si tu le savais tu dirais ptet moins d'anneries ...
Enfin je dois être un gros fanboy qui dénigre tous les 4 mots un OS que je n'utilise pas .. ahh non c'est toi :/
Y'a pas a dire, c'est pas la vente lié qui casse Linux, c'est des types comme toi irrespectueux et faussement élitiste ...
alerter le modérateur
encore un qui n'aime pas les zanimos
de
Viva-Ubuntu
, posté le 04 février 2010 à 13h48
encore un qui n'aime pas les zanimos,
tu est encore plus nul que huygens666, a moins que ce soit la même personne qui rouge de honte de sa première bêtise change de nom pour essayer de faire mieux, c'est raté pour ce coup, essaye encore une fois...
tu est encore plus nul que huygens666, a moins que ce soit la même personne qui rouge de honte de sa première bêtise change de nom pour essayer de faire mieux, c'est raté pour ce coup, essaye encore une fois...
alerter le modérateur
Ce Mr dit la pure vérité !
de
Roger Mourdin
, posté le 03 février 2010 à 20h19
-Internet Explorer 7 et 8 sont mentionnés mais la faille y était beaucoup plus difficile à exploiter en raison des dispositifs de protection dont disposent ces deux navigateurs. Nous avons par ailleurs très rapidement publié un correctif.
-C'est aussi la rançon de la gloire pour Internet Explorer en tant que leader de son marché.
-Il y a toujours eu des failles de sécurité, il y en a et il y en aura.
-Si l'on regarde les statistiques (1), Internet Explorer est loin d'être le navigateur le plus défaillant. Firefox tient la palme dans ce domaine et Google est prêt à payer toute personne découvrant une vulnérabilité dans Chrome.
---> Note personnelle : "http://www.vupen.com/english/searchengine.php?keyword=firefox" et "https://bugzilla.mozilla.org/" avec le mot clé firefox permettent de confirmer les dires sur Firefox.
-Il y a cinq ans, 95 % des attaques se concentraient sur les systèmes d'exploitation. Aujourd'hui cette proportion s'applique aux navigateurs et aux applications comme Flash, Real Audio, etc
-Internet Explorer est aujourd'hui le seul navigateur à disposer des fonctionnalités propres à permettre un déploiement en entreprise à travers un parc informatique.
-D'un point de vue de l'engineering, cette décision se tient car le support de multiples versions a un coût. D'un point de vue stratégique, c'est un risque marketing que prend Google.
En conclusion, l'honnêteté de Mr Bernard Ourghanlian est un grand signe d'humilité et de réalisme contrairement à ce que l'on peut trouver comme diffamatoire sur le site de Mr Tristan Nitot (président Mozilla Europe et donc Firefox) : "http://www.standblog.org"
-C'est aussi la rançon de la gloire pour Internet Explorer en tant que leader de son marché.
-Il y a toujours eu des failles de sécurité, il y en a et il y en aura.
-Si l'on regarde les statistiques (1), Internet Explorer est loin d'être le navigateur le plus défaillant. Firefox tient la palme dans ce domaine et Google est prêt à payer toute personne découvrant une vulnérabilité dans Chrome.
---> Note personnelle : "http://www.vupen.com/english/searchengine.php?keyword=firefox" et "https://bugzilla.mozilla.org/" avec le mot clé firefox permettent de confirmer les dires sur Firefox.
-Il y a cinq ans, 95 % des attaques se concentraient sur les systèmes d'exploitation. Aujourd'hui cette proportion s'applique aux navigateurs et aux applications comme Flash, Real Audio, etc
-Internet Explorer est aujourd'hui le seul navigateur à disposer des fonctionnalités propres à permettre un déploiement en entreprise à travers un parc informatique.
-D'un point de vue de l'engineering, cette décision se tient car le support de multiples versions a un coût. D'un point de vue stratégique, c'est un risque marketing que prend Google.
En conclusion, l'honnêteté de Mr Bernard Ourghanlian est un grand signe d'humilité et de réalisme contrairement à ce que l'on peut trouver comme diffamatoire sur le site de Mr Tristan Nitot (président Mozilla Europe et donc Firefox) : "http://www.standblog.org"
alerter le modérateur
firefox possède plus de failles ?
de
azerty0
, posté le 03 février 2010 à 20h49
... oui car c'est un logiciel opensource, donc avec les sources disponibles il est plus facile de détecter des failles qu'un logiciel fermé comme IE. Et ce sont des failles détectées, non pas des failles jamais détectées ni jamais exploitées, ce qui n'est pas pareil.
Je ferai toujours plus confiance à un navigateur opensource dont la communauté est très active, plutôt qu'un navigateur comme IE dont on ignore ce que renferme cette boîte noire
Je ferai toujours plus confiance à un navigateur opensource dont la communauté est très active, plutôt qu'un navigateur comme IE dont on ignore ce que renferme cette boîte noire
alerter le modérateur
Tout a fait d'accord avec toi azerty0
de
bourin-des-bois
, posté le 03 février 2010 à 21h06
Tout a fait d'accord avec toi azerty0, en plus Internet Explorer ne respecte aucunes normes, autant il est facile de faire une page html/css sous FireFox autant il est fatiguant de créer la même page sous Internet Explorer.
alerter le modérateur
oui et non
de
franckd00
, posté le 04 février 2010 à 09h42
Une des technique de "crakage" repose sur le fuzzing : tu envois des info volontairement erronées pour voir comment le logiciel réagis. Pour le pirate pas de différence entre code ouvert ou fermé...
Pour combler la faille par contre mieux vaut un maximum de "bonnes volontés" et un code bien documenté. sans compter que la volonté de cacher les miettes sous le tapis, est assez marquée dans le monde du logiciel "fermé"...
Pour combler la faille par contre mieux vaut un maximum de "bonnes volontés" et un code bien documenté. sans compter que la volonté de cacher les miettes sous le tapis, est assez marquée dans le monde du logiciel "fermé"...
alerter le modérateur
publicité
à lire aussi
SUR LES MÊMES THÈMES 
