B. Ourghanlian (Microsoft) : « La sécurité est une école de l’humilit頻

Après les mises en garde de la France et de l'Allemagne contre une faille d'Internet Explorer, Microsoft et son navigateur traversent une mauvaise passe. Bernard Ourghanlian, directeur de la technique et de la sécurité de Microsoft France, revient sur le sujet.
01net. : Avec l'affaire du piratage de Google, Internet Explorer est montré du doigt. Quel regard portez-vous sur cette situation ?
Bernard Ourghanlian : La faille de sécurité utilisée dans le cas de l'affaire du piratage de Google concernait Internet Explorer 6 essentiellement. Internet Explorer 7 et 8 sont mentionnés mais la faille y était beaucoup plus difficile à exploiter en raison des dispositifs de protection dont disposent ces deux navigateurs. Nous avons par ailleurs très rapidement publié un correctif.
La surmédiatisation de cette affaire est peut-être due au fait qu'il s'agissait de Google et de la Chine. C'est aussi la rançon de la gloire pour Internet Explorer en tant que leader de son marché. Il y a toujours eu des failles de sécurité, il y en a et il y en aura. Si l'on regarde les statistiques (1), Internet Explorer est loin d'être le navigateur le plus défaillant. Firefox tient la palme dans ce domaine et Google est prêt à payer toute personne découvrant une vulnérabilité dans Chrome… La sécurité est une école de l'humilité.
Comment jugez-vous les réactions du Certa (2) en France et du BSI en Allemagne, qui ont conseillé aux internautes d'utiliser un navigateur alternatif le temps qu'un correctif soit publié ?
L'avis émis par le Certa nous a semblé un peu exagéré. Il s'adressait principalement au milieu professionnel et aux administrations. Or il était difficilement applicable car il est délicat de déployer un nouveau navigateur dans un environnement informatique du jour au lendemain. En France, nous ne connaissons pas un seul client qui ait subi une attaque à cause de cette faille et nous n'avons eu aucune remontée en ce sens de notre support technique.
Pensez-vous que Microsoft ait adopté la bonne méthodologie en matière de sécurité pour Internet Explorer ?
Nous avons fait des progrès mais il reste du travail. Je dirai que Chrome est certainement le plus avancé dans ce domaine. Il y a cinq ans, 95 % des attaques se concentraient sur les systèmes d'exploitation. Aujourd'hui cette proportion s'applique aux navigateurs et aux applications comme Flash, Real Audio, etc.
« Le recours à notre navigateur pour attaquer un Etat ou une compagnie est la meilleure option pour un pirate »
Internet Explorer 8 a mis presque un an à dépasser IE6, qui est encore le deuxième navigateur le plus utilisé dans le monde, loin devant IE7. Comment expliquez-vous cette situation ?
Beaucoup d'entreprises utilisent encore Windows XP, dans lequel IE6 était préinstallé. Déployer un système informatique nécessite du temps et de l'argent. Changer de version de navigateur suppose de requalifier les applications professionnelles utilisées, c'est pourquoi les entreprises préfèrent en général passer directement à un nouvel environnement en changeant d'OS. Les entreprises sont en train de migrer vers Windows 7, ce qui devrait favoriser le décollage d'IE8.
La fenêtre à choix multiple que vous allez implanter à partir de la mi-mars dans Windows n'aura-t-elle pas une incidence sur cette transition d'IE 6 à IE8 ?
Je pense que cela ne se produira pas dans le milieu professionnel car les utilisateurs ne pourront pas décider individuellement quel navigateur ils préfèrent utiliser. C'est l'entreprise qui décide de l'environnement qu'elle veut déployer et qui avise en fonction de la réalité du marché.
Internet Explorer est aujourd'hui le seul navigateur à disposer des fonctions propres à permettre un déploiement en entreprise à travers un parc informatique. C'est d'ailleurs pour cette raison que le recours à notre navigateur pour attaquer un Etat ou une compagnie est la meilleure option pour un pirate.
Que pensez-vous de la décision de Google de ne plus assurer la compatibilité avec d'anciennes versions des navigateurs, dont IE6 ?
Du point de vue de l'engineering, cette décision se tient, car le support de multiples versions a un coût. D'un point de vue stratégique, c'est un risque marketing que prend Google. Soit les utilisateurs [les entreprises, NDLR] changent tout pour passer sur leur système, soit ils vont se fermer un marché. Par ailleurs, les Google Apps ne sont pas très répandues en entreprise.

1. Bernard Ourghanlian fait référence à un rapport de Cenzic, une firme spécialisée dans les solutions de sécurité pour les sites web qui a réalisé un classement des navigateurs en fonction de leurs vulnérabilités. La période couverte concerne les 1er et 2e trimestres 2009.
2. Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques
-
-
jehaislafenetre@jadoretuxx.ntm
Quand on parle des failles fe ffox on parle de toutes les failles.
Quand on parle des failles de IE, on ne parle que de celles qui on fait des dégats, car le logiciel étant fermé comment vérifier ?
Sans compter l'énergie deployée par microsoft pour étoufer des dizaines de failles découverts dans IE ou wintruc...
winmachin IE et tt le reste ca pue.
Aujourd'hui avec tt ce qui est dispo ndans le monde du libre les particuliers qui utilisent IE6 qu'ils viennent pas se plaindrent et aussi pour tordre le coup à une grande fausse rumeur :
-NE VENEZ PAS SOUS GNU/Linux, nous ne voulons pas de vous
(ou alors chez ubuntu) -
armic100
j'ai été obligé pour la première fois de changer de navigateur parce explorer 8 est devenu instable, les javascript ont disparues impossible de lire des vidéos je suis passé à firebox c'est mieux mais pas tellement compatible avec windows live j'aimerai savoir comment réactiver les javascripts j'ai tout essayé
-
Viva-Ubuntu
encore un qui n'aime pas les zanimos,
tu est encore plus nul que huygens666, a moins que ce soit la même personne qui rouge de honte de sa première bêtise change de nom pour essayer de faire mieux, c'est raté pour ce coup, essaye encore une fois... -
administrator
ouais une faille de plus dans un navigateur, ou dans un site une faille de plus parmi de nombreuses autres qu'on ne pourra pas dire ici c'est internet liberté d'expression liberté d'ecrire lire renifler d'espionner pour les ptites gens que nous sommes vaut mieux en rire
-
nimporteQuoi !
"Ce genre de script écrit des cochonneries sur ton disque voir des virus ! C'est une chose impossible sous Linux ou alors il faut que tu sois nul pour autoriser ça !"
Ahh donc si ca marche sous windows c'est la faute de l'OS ... si ca marche sous linux c'est la faute de l'utilisateur ...
Interressant ...
Sinon tu sais qu'une faille d'exploiter un truc de l'OS normalement infaisable ? Si tu le savais tu dirais ptet moins d'anneries ...
Enfin je dois être un gros fanboy qui dénigre tous les 4 mots un OS que je n'utilise pas .. ahh non c'est toi :/
Y'a pas a dire, c'est pas la vente lié qui casse Linux, c'est des types comme toi irrespectueux et faussement élitiste ... -
Nacyl
"C'est aussi la rançon de la gloire pour Internet Explorer en tant que leader de son marché."
Ca c'est humble à mort !
Le fait qu'il n'y ait pas de choix possible (jusqu'à récemment) du navigateur internet à l'installation de windows n'est certainement pour rien dans l'histoire...
Tout comme le fait qu'IE était tellement lié à l'OS qu'il était presque impossible de le désinstaller sans rencontrer d'effet indésirable.
Maintenant, pour les entreprises qui ont choisi d'avoir des administrateurs système qui tiennent la route (pas ceux vendus à des tarifs attractifs et logés en Inde ou ailleurs et qui ne font qu'appliquer ce qui est dans leurs contrats respectifs) le déploiement d'un nouveau navigateur en entreprise se fait sans douleur.
La principale difficulté vient bien souvent du fait que la décision de le faire est politique !
Bien souvent les décideurs manquent de volonté dans le domaine, quand ils ne manquent pas des compétences élémentaires pour prendre une telle décision !
Pour la migration d'un navigateur, ce que Mr Bernard Ourghanlian passe sous silence c'est le fait que changer d'OS pour passer à une nouvelle version d'IE est bien souvent la seule solution !
En effet, M$ n'est pas connue pour être totalement compatible avec... elle-même.
Il y a donc de quoi refroidir plus d'un sysadmin sans compter le DSI dont il dépend.
Autre contre vérité : "(...) Internet Explorer est aujourd'hui le seul navigateur à disposer des fonctions propres à permettre un déploiement en entreprise à travers un parc informatique."
Comme si pour déployer quoi que ce soit en entreprise on s'appuyait sur le navigateur !
Les outils professionnels de déploiement sont là pour ça et ils autorisent, et c'est heureux, le déploiement de n'importe quel logiciel, navigateur internet alternatif compris !
Mais bon, je ne vais pas reprocher à ce Monsieur de défendre la main qui le nourri, cependant, la route vers l'humilité est encore longue. Rien d'étonnant quand on sait qu'un parc informatique cohérent selon M$ est un parc 100% M$. -
Newjc
Depuis quand IE est le seul navigateur à pouvoir être déployé sur un parc informatique? Je connais beaucoup d'entreprise et d'administration qui ont déployées Firefox sur tous leurs postes sans problèmes.
En tout cas, il est vraiment temps que IE6 disparaissent du marché. C'est vraiment une plaie pour les développeurs web. Il faudrait également que Microsoft se décide à suivre l'exemple de la plupart de ses concurrents et qu'il s'adapte aux standards du Web. Ca devient vraiment lassant de devoir faire du dev spécifique à leur navigateur. -
-
Super Penguin
T'est bien un rigolo, j'ai l'impression que tu ne sais pas comment marche l'informatique !!
Arrête de dire des âneries, on s'en fout que tu préfère Windaube, c'est ton problème !
Ce qui est bizarre c'est que les failles sont exploitables sous Windaube, mais sous Linux pas des soucis, car Linux est plus sécurisé que Windaube ! C'est encore plus difficile d'exploiter une éventuelle faille ! Et quand bien même il faut que tu autorise l'intrus !
As tu déjà vu un message sous Windaube quand tu navigue sur certains sites du genre : Attention, un script essaie d'écrire sur votre disque ! Voulez vous autoriser cette écriture !
Alors évidemment, la réponse et non ! Et si voudrais, il n'y a que le Root qui peut écrire en dehors de ton home !
Ce genre de script écrit des cochonneries sur ton disque voir des virus ! C'est une chose impossible sous Linux ou alors il faut que tu sois nul pour autoriser ça !
En clair sous Windows, la porte de ta maison est toujours ouverte, alors que sous Linux elle est fermée et avant d'entrer, il faut sonner et s'identifier pour entrer !
Alors oui va jouer avec Windaube et arrête tes critiques sur la famille Unix, il n'y a pas que Linux !
Votre opinion