Discussion :

[Katleen Erna]

Oracle et Apple ne s'impliqueraient pas autant que Microsoft dans l'élaboration de correctifs, le père de Windows fait état de plus de 745 vulnérabilités patchées depuis 2003

La très volumineuse mise à jour de sécurité proposée par Microsoft hier a marqué l'achèvement de la sixième année de service pour le programme de sorties mensuelles de patchs de la firme.

En effet, Microsoft a instauré en octobre 2003 son "Patch Tuesday" à fonctionnement en cycles mensuels. Depuis cette date, ce sont quelques 400 bulletins de sécurités qui furent édités, pour résoudre près de 745 vulnérabilités sur l'ensemble des produits Microsoft.

Environ 50 % de ces dernières étaient définies comme "critiques" par la société. Ce terme est typiquement utilisé par l'entreprise de Redmond pour désigner des vulnérabilités ouvrant le passage aux hackers afin que ceux-ci puissent prendre le contrôle d'un ordinateur à distance.

Le nombre de failles découvertes augmentent d'année en année. Ainsi, c'est un total de 160 vulnérabilités qui furent patchées de janvier 2009 à maintenant, alors que l'on n'en comptait "que" 155 pour la totalité de l'année 2008. De même, les chiffres ont doublé entre 2005 et 2006.

Et c'est presque avec la régularité d'une horloge que Microsoft dispense ses correctifs. Seules quelques rares exceptions s'inscrivent au tableau des scores : le Patch Tuesday de mars 2007 qui ne proposa aucun patch, tout comme seulement trois autres (dont deux en 2005). Quatre absences en six ans, c'est tout de même remarquable en terme de stabilité.

La compagnie affiche d'ailleurs de belle performance : la mise à jour d'hier fait partie du l'une des deix occasions qui ont vues plus de 20 failles être patchées le même mois.

Cette grande activité vient peut être du fait que les attaquants sont, de nos jours, de plus en plus prompts à exploiter une faille, aussi récente soit-elle. Pour preuve, près de 50 % des vulnérabilités patchées par Microsoft en avril 2009 avaient déjà été exploitées au moment de l'arrivée des correctifs.

David Rice, le président du groupe consultant en sécurité Monterey (du nom de la ville où il est implanté en Californie), remarque l'implication très importante de la firme de Redmond sur le front de la sécurité informatique tout en rajoutant que ces efforts ne doivent pas faiblir.

D'après lui, d'autres vendeurs comme Oracle ou Apple ont également annoncé un grand nombre de vulnérabilités ces dernières années, sans pour autant y avoir investit ne serait-ce que le quart de l'argent ou des ressources avancées par Microsoft dans ce domaine. "Ceci est surtout du à leur manque de motivation pour ce faire" argue-t-il.

Contrairement au secteur automobile, où un véhicule défectueux à un mauvais impact sur les chiffres de ventes ; les logiciels contenant des bugs ne semblent pas avoir pénalisé la rentabilité de leurs éditeurs. "Voilà pourquoi la majorité d'entre eux, dont Apple et Oracle en tête de liste, n'a pas daigné faire mieux niveau sécurisation" continue Rice.

Microsoft, de par sa position de dominante sur le marché de l'informatique personnelle, a gagné un statut de cible préférée des hackers ; qui exploitent la popularité de ses produits pour commettre leurs méfaits. Ceci expliquerait qu'un nombre très important de failles de sécurité soit régulièrement découvert.

"Microsoft s'est investi plus que n'importe quelle autre compagnie dans des pratiques de codage sécurisé, concernant le processus de développement de ses programmes" déclame-t-il pour conclure.

Source : Les archives des bulletins de sécurité de Microsoft

Pensez-vous que les parts de marché très élevées de Windows aient quelque chose à voir dans ces chiffres ?

Que pensez-vous de la manière dont Microsoft défend ses produits et les installations de ses clients ?

David Jordan, en charge du bureau sécurité pour le gouvernement du conté d'Arlington en Virginie, s'énerve en déclarant que les mises à jour de Microsoft devraient être considérées comme des "rappels de produits" : "N'est-il pas anormal que de tels produits défectueux soient commercialisés ?" demande-t-il en regrettant l'absence de la "tolérence zéro défaults". Que pensez-vous de cet avis ?

[sphynxounet]

Pensez-vous que les parts de marché très élevées de Windows aient quelque chose à voir dans ces chiffres ?

Bien sur non seulement Windows est l'OS le plus installé dans le monde sur les PC mais aussi il représente les utilisateurs informatique les moins avertis, donc des cibles de choix pour les attaques de tout type.

Que pensez-vous de la manière dont Microsoft défend ses produits et les installations de ses clients ?

Je pense qu'ils font ce qu'ils peuvent. Tout le monde sait qu'un programme n'est pas sur à 100%. Il est impossible pour une équipe de développeurs de penser à toutes les failles de sécurité possible. A celà vient en plus s'ajouter les problèmes liés au matériel (comme le wi-fi qui n'épargne personne d'ailleurs).

David Jordan, en charge du bureau sécurité pour le gouvernement du conté d'Arlington en Virginie, s'énerve en déclarant que les mises à jour de Microsoft devraient être considérées comme des "rappels de produits" : "N'est-il pas anormal que de tels produits défectueux soient commercialisés ?" demande-t-il en regrettant l'absence de la "tolérence zéro défaults". Que pensez-vous de cet avis ?

S'il connait un logiciel 0 défauts c'est-à-dire sans bug ni problème de sécurité je veux bien un nom. On voit rarement tourner des logiciels pendant plusieurs semaines en version 1.0.0.0

[ILP]

Dans ses publicités, Apple ne sous-entend-il pas que MacOS n'a pas de défauts ? S'ils se mettent à publier des correctifs c'est qu'ils admettent qu'il y a des failles. Donc pas de correctif, pas de faille .

David Jordan, en charge du bureau sécurité pour le gouvernement du conté d'Arlington en Virginie, s'énerve en déclarant que les mises à jour de Microsoft devraient être considérées comme des "rappels de produits" : "N'est-il pas anormal que de tels produits défectueux soient commercialisés ?" demande-t-il en regrettant l'absence de la "tolérence zéro défaults". Que pensez-vous de cet avis ?

Lui, il a jamais du écrire une ligne de code !
Les personnes gravement malades devraient aussi s'énerver contre leurs médecins si le médicament qu'ils leur donnent ne les guérit pas.

[travon]

En même temps windows est une vraie passoire, alors il en faut des correctifs pour boucher tous les trous.



Alors que les Linux, BSD, MAC OSX sont des UNIX beaucoup plus robustes et sécurisés à la base.

[Aurelien.Regat-Barrel]

En même temps windows est une vraie passoire, alors il en faut des correctifs pour boucher tous les trous.



Alors que les Linux, BSD, MAC OSX sont des UNIX beaucoup plus robustes et sécurisés à la base.

Bravo ! Tu es le premier trolleur du thread !

[entreprise38]

j'apporte le goudron, tu as les plumes ?


Plus sérieusement, il est vrai qui si MS dépense davantage d'argent dans la maintenance de ses produits, c'est bien parce qu'il est le plus utilisé et le plus attaqué.
Néanmoins, j'ai l'impression (et ça vaut ce que ça vaut, hein) que, depuis quelques temps, MS s'attèle à redorer son blason. Il suffit de voir Seven, la sécurité tout de même au rendez-vous, idem concernant la stabilité, divers produits tels le futur Office 2010, et j'en passe.
MS n'est plus cette boite méprisable qu'elle était, ou semblait être. Ils se remuent de derrière, et c'est très bien pour nous.

Quant à Apple & co, aucune idée. Comment vont-ils réagir dans l'avenir une fois que MS se sera (je l'espère) débarrassé de son image (et ce n'est qu'une image) d'éditeur de passoires ?
Pour Oracle, j'ai l'impression qu'ils se reposent clairement sur leurs lauriers. Partout où j'entends parler d'Oracle, c'est le même refrain : "DB2 (d'IBM) est pourri et lent, Oracle est rapide et génial". Allez savoir pourquoi. En même temps je comprends Oracle : ils ont des produits qui marchent très bien, sont leader dans leur domaine, jouissent d'une excellente image. Pourquoi diable vouloir corriger quoi que ce soit, d'autant que peu de gens ne semblent s'en plaindre ?

Wait and see, comme on dit, et admirons le spectacle !

[travon]

La ou tu te trompes c'est que microsoft n'a jamais eu une aussi mauvaise image que maintenant

Il n'y a que a voir dans le monde de la téléphonie mobile ou windows mobile est associé a "Has been", tous les constructeurs se tournent petit à petit vers d'autres solutions comme Android !!

Dans le monde informatique, c'est idem, pour tout le monde un PC sous windows qui rame ou qui plante c'est normal.

Microsoft souffre d'une image catastrophique.

[entreprise38]

Oui et non,

Quand j'écoute mon entourage professionnel (éditeur de logiciels), c'est toujours la même chose :
- Mac ? Ca sert à rien et ça coute cher. Comment peut-on acheter un truc pareil ?
- Linux ? Rhooo j'ai bien essayé d'installer Ubuntu pour ma fille, mais j'ai mis une journée pour installer un jeu, enfin... ça n'a même pas marché. Donc non, poubelle.
- Windows ? Bah XP c'est bien, et puis au moins on a nos logiciels & jeux.
Mes proches ? Ils ne connaissent que Windows. Faut dire que l'informatique n'est pas leur passion : du moment que ça marche, et que leur jojo joue le support informatique . Y'a a bien un qui m'avait demandé ce qu'était Linux après avoir entendu un collègue en parler, je lui ait répondu quelque chose du genre "laisse tomber, c'est nul, et tu n'auras pas tes logiciels" (en l'occurrence une vieille version, Win95, de PrintArtist ^^).

En notant que le légendaire BSOD n'est plus ce qu'il était, ça doit faire du bien à l'image de Windows.

Ajoutons que la période "Vista" est bientôt révolue, idem pour IE6, période où il est vrai que l'image de MS devait être bien mauvaise, d'autant qu'à ce même moment Linux a sérieusement fait parler de lui, ne serait-ce via le populaire Ubuntu, que ce soit sur desktop/laptop, mais aussi les netbooks.
Aujourd'hui, c'est Seven, les très bonnes impressions, le probable retour en force sur les netbooks, et -espérons le- un futur Windows Mobile digne d'intérêt.

Tout ça pour dire qu'il n'est pas facile d'avoir un avis objectif sans se faire polluer par son environnement. On a tous un entourage différent, même si de même milieu, d'où des images différentes de MS.
Un sondage ? Même pas la peine d'y penser, dans la mesure où les participants seront ceux qui ont les connaissances suffisantes pour aller sur un tel forum, et participer à un e-sondage

[Louis Griffont]

Sans vouloir préjuger de l'avenir, mais pas mal de personnes "un peu brancher info" autour de moi qui avait un double boot Vista / Ubuntu semble abandonner le premier pour Seven, et après un temps d'usage de Seven parle sérieusement de virer Ubuntu une fois qu'ils auront la version définitive de Seven !

Je crois que Microsoft redore son blason et risque de faire mal !

[alband85]

Sans vouloir préjuger de l'avenir, mais pas mal de personnes "un peu brancher info" autour de moi qui avait un double boot Vista / Ubuntu semble abandonner le premier pour Seven, et après un temps d'usage de Seven parle sérieusement de virer Ubuntu une fois qu'ils auront la version définitive de Seven !

Je crois que Microsoft redore son blason et risque de faire mal !

Ah oui mais là tu vas nous lancer dans un troll sur Ubuntu

[Barsy]

Il ne faut pas oublier que Microsoft est en train de confirmer sa position dominante dans le monde de l'entreprise. Exchange 2010 est parti pour faire un carton. Beaucoup sont en train de préparer le changement pour adopter le nouveau joujou, même des entreprises qui étaient sur des systèmes de messagerie concurrents tel que Novell.

Et qui dit Exchange dit Outlook, qui dit Outlook dit Office et qui dit Office dit Windows. Sans oublier d'ajouter une pincée de SharePoint et du Visual Studio pour développer tout ça.

Après, comme le dit entreprise38, cet avis ne peut être 100% objectif, c'est l'impression que j'ai en voyant le comportement des clients de ma boîte (qui sont quand même de très grands groupes).

Mais j'ai le sentiment que ça n'est pas loin de la réalité.

[Médinoc]

Le point qui me touche le plus dans l'article n'est pas "microsoft découvre plus de failles", mais "Oracle ne patche pas ses failles quand elles sont découvertes".

C'est ça qui pour moi, fait la force d'une entreprise de logiciel: Pas la quantité de bug, mais la vitesse à laquelle un bug est corrigé...