supinfo
supinfo
Connexion :
Abonnement NewsletterOk
 

Ouverture et Microsoft : quid de la sécurité ?

Publiée par Julien le Lundi 25 Fevrier 2008

Brève Windows

Bernard Ourghanlian - Microsoft France
Microsoft créait la surprise en annonçant la semaine dernière, son intention d'ouvrir certains protocoles jusque là considérés comme secrets industriels (voir Microsoft infléchit sa stratégie et ouvre ses secrets). En promettant de mettre en ligne une documentation d'un peu plus de 30 000 pages sur certains protocoles utilisés par Windows et Office, Microsoft a suscité de nombreuses réactions comme relatés dans cette brève. Parmi les nombreuses réactions suscitées par cette annonce, certains s'interrogeaient sur les problématiques en matière de sécurité logicielle. Une question légitime que nous avons posée à Bernard Ourghanlian, directeur technique et sécurité pour Microsoft France :

Clubic.com : Qu'implique, en terme de sécurité et de risque potentiel pour l'entreprise et pour l'utilisateur, l'ouverture des protocoles et autres API des produits « high volume » de Microsoft ? Ne risque-t'on pas de voir certains petits malins éplucher les documentations à la recherche de failles dont ils pourraient tirer profit afin de mettre à mal l'intégrité de l'environnement Windows ? Je suppose que Microsoft a bien entendu pris en compte cette problématique : comment comptez-vous l'adresser ?

Bernard Ourghanlian : D'une façon générale, à mon sens, la « sécurité par l'obscurité », cela n'a jamais fonctionné… Autrement dit, ce n'est pas le fait de documenter nos API et nos protocoles qui devrait changer quoi que ce soit à la sécurité de nos produits. De même que je n'ai jamais cru au fait que la possibilité de diffuser largement le code source des logiciels permettait obligatoirement d'en améliorer la sécurité… Je partage en ce sens l'avis de Ross Anderson (voir ce lien) qui ne peut pourtant pas être taxé de grand ami de Microsoft.

Pour être plus précis, cela fait maintenant 2 ans que l'on a systématisé la mise en œuvre d'outils de fuzzing qui permettent de tester des utilisations incorrectes de l'ensemble de nos API et de nos protocoles (et aussi de nos formats de fichiers). Ces outils nous ont permis de découvrir de nombreux bugs dans nos logiciels qui ont été corrigés depuis la sortie de Windows Vista, Office 2007, Exchange 2007, Windows Server 2008, Windows XP SP3, etc. Il y a donc des éventualités de problèmes induits par cette documentation avec les versions précédentes de nos logiciels mais tout devrait normalement bien se passer avec les nouvelles versions.

Ces outils de fuzzing ne sont toutefois pas mis à la disposition de nos clients car ils peuvent aussi malheureusement se transformer en outils d'attaque très puissants. Nous avons donc pris la décision de ne pas les publier malgré leur incontestable intérêt.
Actu précédente
Brève suivante
Les Commentaires des lecteurs
_
le 25 Févr. 08 à 10h32
Edition
 
Ces outils nous ont permis de découvrir de nombreux bugs dans nos logiciels qui ont été corrigés depuis la sortie de Windows Vista, Office 2007, Exchange 2007, Windows Server 2008, Windows XP SP3

Ah bon ?
 
le 25 Févr. 08 à 10h35
Edition
 
le Mr tire sa référence de l'obscurité du livre "Applied Cryptography" de Bruce Schneier:

"If I take a letter, lock it in a safe, hide the safe somewhere in New York, then tell you to read the letter, that's not security. Thats obscurity.

On the other hand, if I take a letter and lock it in a safe, and then give you the safe along with the design specifications of the safe and a hundred identical safes with their combinations so that you and the worlds best safecrackers can study the locking mechanism - and you still can't open the safe and read the letter -thats security."

:)
 
le 25 Févr. 08 à 10h36
Edition
 
D'une façon générale, à mon sens, la « sécurité par l'obscurité », cela n'a jamais fonctionné…

:lol:
 
le 25 Févr. 08 à 10h40
Edition
 
La "sécurité par l'obscurité" est dangereuse car attire la curiosité et la jalousie. Ouvrir le code source me semble être une meilleures solution.
 
le 25 Févr. 08 à 10h48
Edition
 
D'une façon générale, à mon sens, la « sécurité par l'obscurité », cela n'a jamais fonctionné…

Un tel retournement de veste, ça mériterait de finir en signature... :)
 
le 25 Févr. 08 à 10h49
Edition
 
Windows 2000 gratos c'est pour quand ?
 
le 25 Févr. 08 à 10h54
Edition
 
Je trouve que c'est un peu court comme brève !

Faire un article sur une seule question posée...
...qui de plus ne couvre qu'une partie infime de la problématique !

Parce qu'en définitive, c'est la réactivité qui est importante dans la correction des failles de sécurité.
 
le 25 Févr. 08 à 10h58
Edition
 
En même temps si la simple fait de divulguer les sources etait synonyme de sécutié défaillante.. alors linux serait une vrai passoire :ane:
 
le 25 Févr. 08 à 11h07
Edition
 
Le_poilu a écrit:
En même temps si la simple fait de divulguer les sources etait synonyme de sécutié défaillante.. alors linux serait une vrai passoire :ane:

C'est pas ce qu'il a dit hein. Il dit que le fait de diffuser les sources n'augmente pas forcément la sécurité.
Je ne suis pas assez compétent pour juger de ça, même si a priori, plus les sources se retrouvent entre de nombreuses mains, plus des gens peuvent trouver des problèmes éventuels. Mais ça, c'est la théorie.
 
le 25 Févr. 08 à 11h17
Edition
 
manycalavera: 2020 ;)

Je ne sais pas dans quelle mesure en refusant de continuer de commercialiser maintenir leur logiciels, il perdent leur droits. A priori tu gagne au moins le droit de le recopier.
 
le 25 Févr. 08 à 11h22
Edition
 
"Windows 2000 gratos c'est pour quand ?"

Bonne idée de rentre les anciens windows gratos !
 
le 25 Févr. 08 à 11h25
Edition
 
azuriel a écrit:
Le_poilu a écrit:
En même temps si la simple fait de divulguer les sources etait synonyme de sécutié défaillante.. alors linux serait une vrai passoire :ane:

C'est pas ce qu'il a dit hein. Il dit que le fait de diffuser les sources n'augmente pas forcément la sécurité.
Je ne suis pas assez compétent pour juger de ça, même si a priori, plus les sources se retrouvent entre de nombreuses mains, plus des gens peuvent trouver des problèmes éventuels. Mais ça, c'est la théorie.


La question qu'on lui pose c'est ça:


Qu’implique, en terme de sécurité et de risque potentiel pour l’entreprise et pour l’utilisateur, l’ouverture des protocoles et autres API des produits « high volume » de Microsoft ? Ne risque-t’on pas de voir certains petits malins éplucher les documentations à la recherche de failles dont ils pourraient tirer profit afin de mettre à mal l’intégrité de l’environnement Windows ? Je suppose que Microsoft a bien entendu pris en compte cette problématique : comment comptez-vous l’adresser ?

Ce à quoi on pourrait répondre ce que j'ai dit plus haut :p

Appuyé par la réponse du M. Microsoft:

D’une façon générale, à mon sens, la « sécurité par l’obscurité », cela n’a jamais fonctionné… Autrement dit, ce n’est pas le fait de documenter nos API et nos protocoles qui devrait changer quoi que ce soit à la sécurité de nos produits.

Faut pas non plus prendre les choses à moitié ;)
Edité le 25/02/2008 à 11:25
 
le 25 Févr. 08 à 11h25
Edition
 
jdautz a écrit:
manycalavera: 2020 ;)

Je ne sais pas dans quelle mesure en refusant de continuer de commercialiser maintenir leur logiciels, il perdent leur droits. A priori tu gagne au moins le droit de le recopier.
tu gagnes rien du tout.
Ils possèdent les droits d'auteur de leur solution. Après s'ils ne veulent pas la vendre, c'est leur plaint droit.

L'ouverture d'une API ne va rien nous faire craindre car on pouvait déjà tester fonction par fonction. Au moins maintenant on aura moins de bug avec les logiciels qui faisaient du reverse engineering.
 
le 25 Févr. 08 à 11h45
Edition
 
LeGlop a écrit:
D'une façon générale, à mon sens, la « sécurité par l'obscurité », cela n'a jamais fonctionné…

Un tel retournement de veste, ça mériterait de finir en signature... :)
A-t-il déjà dit le contraire ?

azuriel a écrit:
Le_poilu a écrit:
En même temps si la simple fait de divulguer les sources etait synonyme de sécutié défaillante.. alors linux serait une vrai passoire :ane:

C'est pas ce qu'il a dit hein. Il dit que le fait de diffuser les sources n'augmente pas forcément la sécurité.
Je ne suis pas assez compétent pour juger de ça, même si a priori, plus les sources se retrouvent entre de nombreuses mains, plus des gens peuvent trouver des problèmes éventuels. Mais ça, c'est la théorie.
Je ne sais pas... À mon avis, les gars qui s'amusent à lire du code et qui y trouvent des failles sont plutôt ceux qui sont payés pour, donc que le code soit ouvert ou pas, ça ne doit pas changer beaucoup ^^
 
le 25 Févr. 08 à 12h16
Edition
 
lovely WIN98 + ultimPaCK
 
le 25 Févr. 08 à 13h21
Edition
 
manycalavera a écrit:
Windows 2000 gratos c'est pour quand ?

Sachant que des licences DOS sont toujours vendues pour certaines appli industrielles faut pas rêver Win 2000 ne sera pas filé gratuitement avant un moment.
 
le 25 Févr. 08 à 13h36
Edition
 
pit32 a écrit:
La "sécurité par l'obscurité" est dangereuse car attire la curiosité et la jalousie. Ouvrir le code source me semble être une meilleures solution.
Un peu comme 90% des appli PHP qui stockent le mot de passe de la base MySQL en clair dans le code PHP ? :whistle:
 
le 25 Févr. 08 à 13h46
Edition
 
De toute facon ils ne donnent pas les sources, ils donnent les specifs de certains protocole. Donc hors defaut de conception il ne doit pas y avoir de problemes.
wildpeaks a écrit:
pit32 a écrit:
La "sécurité par l'obscurité" est dangereuse car attire la curiosité et la jalousie. Ouvrir le code source me semble être une meilleures solution.
Un peu comme 90% des appli PHP qui stockent le mot de passe de la base MySQL en clair dans le code PHP ? :whistle:
Tu mets des mot de passe pour acceder a la base toi ? :ane:
 
le 25 Févr. 08 à 13h54
Edition
 
taigaIV a écrit:
Tu mets des mot de passe pour acceder a la base toi ? :ane:
C'est vrait c'est plus simple sans, et puis comme çà personne va pouvoir lire le mot de passe dans le code si tu publies la source :ane:
 
Continuer sur le forum
59 messages
1
2
3
>
 



 
Clubic.com
 
Achetez-facile.com
 
Jeuxvideo.fr
 
neteco.com
 
mobinaute.com