Discussion :

[Katleen Erna]

Oracle et Apple ne s'impliqueraient pas autant que Microsoft dans l'élaboration de correctifs, le père de Windows fait état de plus de 745 vulnérabilités patchées depuis 2003

La très volumineuse mise à jour de sécurité proposée par Microsoft hier a marqué l'achèvement de la sixième année de service pour le programme de sorties mensuelles de patchs de la firme.

En effet, Microsoft a instauré en octobre 2003 son "Patch Tuesday" à fonctionnement en cycles mensuels. Depuis cette date, ce sont quelques 400 bulletins de sécurités qui furent édités, pour résoudre près de 745 vulnérabilités sur l'ensemble des produits Microsoft.

Environ 50 % de ces dernières étaient définies comme "critiques" par la société. Ce terme est typiquement utilisé par l'entreprise de Redmond pour désigner des vulnérabilités ouvrant le passage aux hackers afin que ceux-ci puissent prendre le contrôle d'un ordinateur à distance.

Le nombre de failles découvertes augmentent d'année en année. Ainsi, c'est un total de 160 vulnérabilités qui furent patchées de janvier 2009 à maintenant, alors que l'on n'en comptait "que" 155 pour la totalité de l'année 2008. De même, les chiffres ont doublé entre 2005 et 2006.

Et c'est presque avec la régularité d'une horloge que Microsoft dispense ses correctifs. Seules quelques rares exceptions s'inscrivent au tableau des scores : le Patch Tuesday de mars 2007 qui ne proposa aucun patch, tout comme seulement trois autres (dont deux en 2005). Quatre absences en six ans, c'est tout de même remarquable en terme de stabilité.

La compagnie affiche d'ailleurs de belle performance : la mise à jour d'hier fait partie du l'une des deix occasions qui ont vues plus de 20 failles être patchées le même mois.

Cette grande activité vient peut être du fait que les attaquants sont, de nos jours, de plus en plus prompts à exploiter une faille, aussi récente soit-elle. Pour preuve, près de 50 % des vulnérabilités patchées par Microsoft en avril 2009 avaient déjà été exploitées au moment de l'arrivée des correctifs.

David Rice, le président du groupe consultant en sécurité Monterey (du nom de la ville où il est implanté en Californie), remarque l'implication très importante de la firme de Redmond sur le front de la sécurité informatique tout en rajoutant que ces efforts ne doivent pas faiblir.

D'après lui, d'autres vendeurs comme Oracle ou Apple ont également annoncé un grand nombre de vulnérabilités ces dernières années, sans pour autant y avoir investit ne serait-ce que le quart de l'argent ou des ressources avancées par Microsoft dans ce domaine. "Ceci est surtout du à leur manque de motivation pour ce faire" argue-t-il.

Contrairement au secteur automobile, où un véhicule défectueux à un mauvais impact sur les chiffres de ventes ; les logiciels contenant des bugs ne semblent pas avoir pénalisé la rentabilité de leurs éditeurs. "Voilà pourquoi la majorité d'entre eux, dont Apple et Oracle en tête de liste, n'a pas daigné faire mieux niveau sécurisation" continue Rice.

Microsoft, de par sa position de dominante sur le marché de l'informatique personnelle, a gagné un statut de cible préférée des hackers ; qui exploitent la popularité de ses produits pour commettre leurs méfaits. Ceci expliquerait qu'un nombre très important de failles de sécurité soit régulièrement découvert.

"Microsoft s'est investi plus que n'importe quelle autre compagnie dans des pratiques de codage sécurisé, concernant le processus de développement de ses programmes" déclame-t-il pour conclure.

Source : Les archives des bulletins de sécurité de Microsoft

Pensez-vous que les parts de marché très élevées de Windows aient quelque chose à voir dans ces chiffres ?

Que pensez-vous de la manière dont Microsoft défend ses produits et les installations de ses clients ?

David Jordan, en charge du bureau sécurité pour le gouvernement du conté d'Arlington en Virginie, s'énerve en déclarant que les mises à jour de Microsoft devraient être considérées comme des "rappels de produits" : "N'est-il pas anormal que de tels produits défectueux soient commercialisés ?" demande-t-il en regrettant l'absence de la "tolérence zéro défaults". Que pensez-vous de cet avis ?

[sphynxounet]

Pensez-vous que les parts de marché très élevées de Windows aient quelque chose à voir dans ces chiffres ?

Bien sur non seulement Windows est l'OS le plus installé dans le monde sur les PC mais aussi il représente les utilisateurs informatique les moins avertis, donc des cibles de choix pour les attaques de tout type.

Que pensez-vous de la manière dont Microsoft défend ses produits et les installations de ses clients ?

Je pense qu'ils font ce qu'ils peuvent. Tout le monde sait qu'un programme n'est pas sur à 100%. Il est impossible pour une équipe de développeurs de penser à toutes les failles de sécurité possible. A celà vient en plus s'ajouter les problèmes liés au matériel (comme le wi-fi qui n'épargne personne d'ailleurs).

David Jordan, en charge du bureau sécurité pour le gouvernement du conté d'Arlington en Virginie, s'énerve en déclarant que les mises à jour de Microsoft devraient être considérées comme des "rappels de produits" : "N'est-il pas anormal que de tels produits défectueux soient commercialisés ?" demande-t-il en regrettant l'absence de la "tolérence zéro défaults". Que pensez-vous de cet avis ?

S'il connait un logiciel 0 défauts c'est-à-dire sans bug ni problème de sécurité je veux bien un nom. On voit rarement tourner des logiciels pendant plusieurs semaines en version 1.0.0.0

[ILP]

Dans ses publicités, Apple ne sous-entend-il pas que MacOS n'a pas de défauts ? S'ils se mettent à publier des correctifs c'est qu'ils admettent qu'il y a des failles. Donc pas de correctif, pas de faille .

David Jordan, en charge du bureau sécurité pour le gouvernement du conté d'Arlington en Virginie, s'énerve en déclarant que les mises à jour de Microsoft devraient être considérées comme des "rappels de produits" : "N'est-il pas anormal que de tels produits défectueux soient commercialisés ?" demande-t-il en regrettant l'absence de la "tolérence zéro défaults". Que pensez-vous de cet avis ?

Lui, il a jamais du écrire une ligne de code !
Les personnes gravement malades devraient aussi s'énerver contre leurs médecins si le médicament qu'ils leur donnent ne les guérit pas.

[travon]

En même temps windows est une vraie passoire, alors il en faut des correctifs pour boucher tous les trous.



Alors que les Linux, BSD, MAC OSX sont des UNIX beaucoup plus robustes et sécurisés à la base.

[Aurelien.Regat-Barrel]

En même temps windows est une vraie passoire, alors il en faut des correctifs pour boucher tous les trous.



Alors que les Linux, BSD, MAC OSX sont des UNIX beaucoup plus robustes et sécurisés à la base.

Bravo ! Tu es le premier trolleur du thread !

[entreprise38]

j'apporte le goudron, tu as les plumes ?


Plus sérieusement, il est vrai qui si MS dépense davantage d'argent dans la maintenance de ses produits, c'est bien parce qu'il est le plus utilisé et le plus attaqué.
Néanmoins, j'ai l'impression (et ça vaut ce que ça vaut, hein) que, depuis quelques temps, MS s'attèle à redorer son blason. Il suffit de voir Seven, la sécurité tout de même au rendez-vous, idem concernant la stabilité, divers produits tels le futur Office 2010, et j'en passe.
MS n'est plus cette boite méprisable qu'elle était, ou semblait être. Ils se remuent de derrière, et c'est très bien pour nous.

Quant à Apple & co, aucune idée. Comment vont-ils réagir dans l'avenir une fois que MS se sera (je l'espère) débarrassé de son image (et ce n'est qu'une image) d'éditeur de passoires ?
Pour Oracle, j'ai l'impression qu'ils se reposent clairement sur leurs lauriers. Partout où j'entends parler d'Oracle, c'est le même refrain : "DB2 (d'IBM) est pourri et lent, Oracle est rapide et génial". Allez savoir pourquoi. En même temps je comprends Oracle : ils ont des produits qui marchent très bien, sont leader dans leur domaine, jouissent d'une excellente image. Pourquoi diable vouloir corriger quoi que ce soit, d'autant que peu de gens ne semblent s'en plaindre ?

Wait and see, comme on dit, et admirons le spectacle !