B. Ourghanlian (Microsoft) : « La sécurité est une école de l’humilit頻
Après les mises en garde de la France et de l'Allemagne contre une faille d'Internet Explorer, Microsoft et son navigateur traversent une mauvaise passe. Bernard Ourghanlian, directeur de la technique et de la sécurité de Microsoft France, revient sur le sujet.
01net. : Avec l'affaire du piratage de Google, Internet Explorer est montré du doigt. Quel regard portez-vous sur cette situation ?
Bernard Ourghanlian : La faille de sécurité utilisée dans le cas de l'affaire du piratage de Google concernait Internet Explorer 6 essentiellement. Internet Explorer 7 et 8 sont mentionnés mais la faille y était beaucoup plus difficile à exploiter en raison des dispositifs de protection dont disposent ces deux navigateurs. Nous avons par ailleurs très rapidement publié un correctif.
La surmédiatisation de cette affaire est peut-être due au fait qu'il s'agissait de Google et de la Chine. C'est aussi la rançon de la gloire pour Internet Explorer en tant que leader de son marché. Il y a toujours eu des failles de sécurité, il y en a et il y en aura. Si l'on regarde les statistiques (1), Internet Explorer est loin d'être le navigateur le plus défaillant. Firefox tient la palme dans ce domaine et Google est prêt à payer toute personne découvrant une vulnérabilité dans Chrome… La sécurité est une école de l'humilité.
Comment jugez-vous les réactions du Certa (2) en France et du BSI en Allemagne, qui ont conseillé aux internautes d'utiliser un navigateur alternatif le temps qu'un correctif soit publié ?
L'avis émis par le Certa nous a semblé un peu exagéré. Il s'adressait principalement au milieu professionnel et aux administrations. Or il était difficilement applicable car il est délicat de déployer un nouveau navigateur dans un environnement informatique du jour au lendemain. En France, nous ne connaissons pas un seul client qui ait subi une attaque à cause de cette faille et nous n'avons eu aucune remontée en ce sens de notre support technique.
Pensez-vous que Microsoft ait adopté la bonne méthodologie en matière de sécurité pour Internet Explorer ?
Nous avons fait des progrès mais il reste du travail. Je dirai que Chrome est certainement le plus avancé dans ce domaine. Il y a cinq ans, 95 % des attaques se concentraient sur les systèmes d'exploitation. Aujourd'hui cette proportion s'applique aux navigateurs et aux applications comme Flash, Real Audio, etc.
« Le recours à notre navigateur pour attaquer un Etat ou une compagnie est la meilleure option pour un pirate »
Internet Explorer 8 a mis presque un an à dépasser IE6, qui est encore le deuxième navigateur le plus utilisé dans le monde, loin devant IE7. Comment expliquez-vous cette situation ?
Beaucoup d'entreprises utilisent encore Windows XP, dans lequel IE6 était préinstallé. Déployer un système informatique nécessite du temps et de l'argent. Changer de version de navigateur suppose de requalifier les applications professionnelles utilisées, c'est pourquoi les entreprises préfèrent en général passer directement à un nouvel environnement en changeant d'OS. Les entreprises sont en train de migrer vers Windows 7, ce qui devrait favoriser le décollage d'IE8.
La fenêtre à choix multiple que vous allez implanter à partir de la mi-mars dans Windows n'aura-t-elle pas une incidence sur cette transition d'IE 6 à IE8 ?
Je pense que cela ne se produira pas dans le milieu professionnel car les utilisateurs ne pourront pas décider individuellement quel navigateur ils préfèrent utiliser. C'est l'entreprise qui décide de l'environnement qu'elle veut déployer et qui avise en fonction de la réalité du marché.
Internet Explorer est aujourd'hui le seul navigateur à disposer des fonctions propres à permettre un déploiement en entreprise à travers un parc informatique. C'est d'ailleurs pour cette raison que le recours à notre navigateur pour attaquer un Etat ou une compagnie est la meilleure option pour un pirate.
Que pensez-vous de la décision de Google de ne plus assurer la compatibilité avec d'anciennes versions des navigateurs, dont IE6 ?
Du point de vue de l'engineering, cette décision se tient, car le support de multiples versions a un coût. D'un point de vue stratégique, c'est un risque marketing que prend Google. Soit les utilisateurs [les entreprises, NDLR] changent tout pour passer sur leur système, soit ils vont se fermer un marché. Par ailleurs, les Google Apps ne sont pas très répandues en entreprise.
1. Bernard Ourghanlian fait référence à un rapport de Cenzic, une firme spécialisée dans les solutions de sécurité pour les sites web qui a réalisé un classement des navigateurs en fonction de leurs vulnérabilités. La période couverte concerne les 1er et 2e trimestres 2009.
2. Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques
