|
RECHERCHE
|
:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Microsoft compte distiller ses rustines
Microsoft devrait profiter de la Back Hat pour annoncer une nouvelle stratégie de communication sécurité. Le fait est assez important pour que l’ensemble de la presse spécialisée américaine s’en fasse l’écho : NetworkWorld, Security News, Security Focus...
Les grandes lignes de ce plan sont simples : à partir du mois d’octobre, l’éditeur communiquera de manière anticipée, à certains « grands électeurs » du monde sécu triés sur le volet, les informations concernant les failles découvertes et les détails techniques des correctifs mensuels. Cette forme de discrimination a même un nom, le Microsoft Active Protection Program (MAPP). Discrimination, car, comme le précise nos confrères de NWFusion, « sellers of attack-based penetration testing tools are not invited ». Il y aura donc les « gentils » outils d’analyse, et ceux dont la tête ne revient pas au MSRC. La subtile notion liée au caractère intrusif d’un outil de sécurité est laissé à la seule appréciation de Microsoft. Ce qui est clair, c’est que des logiciels comme Canvas ou Metasploit sont personae non grata. Un même flou artistique plane sur le profil que doivent avoir les entreprises élues et acceptées dans ce cercle d’initiés. Sera-ce selon un barycentre gravitant autour de Seattle ? Ou bien en fonction du chiffre d’affaires déclaré ? Voir selon les modalities d’un « Windows Security Logo Program »? Même les explications données par le MSRC ne sont pas tellement plus claires.
Déjà, par le passé, une telle polémique avait secoué le landernau de la sécurité, lorsque le Cert CC avait envisagé de lancer un programme payant d’accès anticipé aux alertes. La communauté des chercheurs avait dénoncé une manière de jouer avec la sécurité des clients par le biais d’une politique de communication à deux vitesses. Toujours est-il que cette initiative, fruit « d’une forte demande de la part du public » (mais un public très particulier manifestement) risque de faire encore couler un peu d’encre numérique sur les fils de discussion du Bugtraq ou du Full Disclosure.
Autre amélioration promise au traditionnel Patch Tuesday, chaque vulnérabilité sera accompagnée d’un « indice de probabilité d’exploitation », qui reposera sur une échelle de 1 à 3. Ce pourrait-être, là encore, une heureuse initiative si le jugement de dangerosité était confié à des experts indépendants. Las, il risque fort de finir de la même manière que l’actuel indice de criticité. A l’heure actuelle, n’est considéré comme « critique » qu’une faille dont l’exploitation à distance est fortement probable. Une exploitation locale – même utilisable « via » une autre attaque distante- et donnant droit à des privilèges système est jugée moins importante. Idem pour certaines failles que les paramètres par défaut du système interdisent en toute logique. Par exemple, le fait d’utiliser un Windows (XP ou Vista) avec des droits Administrateur. Tout comme les fourmis de 18 mètres, çà n’existe pas, çà n’existe pas.
Indiscutablement, le MSRC prodigue de multiples efforts, tous très intéressants. Mais en instituant une forme de « privilège » dans le droit à l’information, Microsoft risque fort d’exciter certains esprits chagrins et encourager ainsi une réaction un peu vive de la part de certains « white hats ».
|
|
Les 10 actualités suivantes :
|
|
|
|
Les 10 actualités précédentes :
|
|
|
|
