Bernard Ourghanlian (Microsoft) : « La divulgation par Google de failles Zero-Day sur IE est une pratique condamnable »
Microsoft TechDays : interview du Directeur « Technique et Sécurité » chez Microsoft France sur la manière d’appréhender les failles « Zero-Day » imprévisibles par nature et la gestion des patches plus ou moins prioritaire.
ITespresso.fr : Comment calculez-vous le temps moyen de réaction ?
Bernard Ourghanlian : Nous avons une unité de mesure baptisée « days of risk ». Entre la publication d’un « Zero-Day » et la correction plus le temps éventuel d’application la correction (le temps de patch), nous cherhcons à déterminer combien de temps il faut. Mais il y a des limites dans la possibilité d’amélioration. Mais si c’est au détriment de la qualité, cela ne vaut pas la peine. Il n’y a rien de pire qu’un patch qui ferait crasher une machine. Autant ne pas avoir de patch du tout et laisser la faille de départ. Cela nous est déjà arrivé mais cela fait longtemps. C’est une question de responsabilité : il faut trouver le juste équilibre de l’assumer et de faire qu’en tout instant, les internautes soient le mieux protégés possible.
ITespresso.fr : Vous-retrouvez-vous souvent dans la configuration : « le Patch Tuesday arrive bientôt, j’attends sa publication pour une correction globale des failles au lieu d’opter pour la diffusion d’un patch spécifique pour une faille précise » ?
Bernard Ourghanlian : C’est très variable. Là aussi, il n’y a pas de règle. Tout dépend des attaques que l’on voit sur Internet, des rapports de sécurité plus ou moins alarmants. Le gros intérêt d’un produit comme Microsoft Security Essentials, c’est qu’il permet de disposer de sondes à l’échelle de la planète et de déterminer les types de population affectés par telle menace. On peut avoir en temps réel des mesures sur la gravité du phénomène viral et sur la vitesse de propagation. Il nous arrive de prendre la décision d’accélérer la mise à disposition d’un patch parce que l’on voit le volume d’exploitation de la faille grossir et qu’il faut réagir plus rapidement. Chaque filiale a un processus de gestion des incidents et des crises. Et le niveau de mobilisation potentielle peut être différente en fonction des localisations et du niveau de gravité.
ITespresso.fr : Microsoft a mis en place sa propre échelle de gravité ?
Bernard Ourghanlian : Absolument. C’est un système de cinq codes couleur : du blanc (tout va bien) au rouge (alerte maximum). En fonction des niveaux de gravité, il y a un processus de mobilisation. Lorsque Blaster [ver informatique qui s’est répandu en août 2003 sur les PC sous Windows XP et Windows 2000, ndlr] a sévi, j’ai mobilisé la filiale française de Microsoft en entier. Avec le recul, je me rend compte que c’était l’alerte la plus importante que j’ai dû gérer.
ITespresso.fr : Microsoft Security Essentials, l’outil anti-virus gratuit de Microsoft, c’est un bon capteur de menaces pour repérer les nouvelles tendances ?
Bernard Ourghanlian : D’ici trois ou quatre mois, nous aurons atteint la barre des 100 millions d’utilisateurs réguliers. C’est un capteur sérieux. Et c’est un peu le deal avec nos utilisateurs : on vous fournit un outil anti-virus gratuit mis à jour en permanence. En échange, vous laissez remonter vers Microsoft les problèmes inhérents à la sécurité informatique observés sur votre poste. Cela se fait de manière anonyme et cela nous permet d’améliorer la qualité des signatures des virus. C’est un outil extraordinaire, tout comme l’exécution du Malicious Software Tool chaque mois (logiciel d’éradication des principaux problèmes connus qui concerne 600 millions d’ordinateurs dans le monde).
Patch Tuesday de février : la fonction « autorun » bannie |
Le « Patch Tuesday » de février a été diffusé dans le monde en pleine session Microsoft TechDays à Paris. Cette nouvelle série de correctifs pour les solutions de Microsoft permet de colmater une vingtaine de failles de sécurité, dont quatre concernant Internet Explorer (l’une d’elles avait été dévoilée en décembre 2010). Mais la vulnérabilité critique de type « 0-day », qui a été découverte fin janvier, n’a pas été corrigée. Elle touche toutes les versions de Windows via Internet Explorer et des pages Web infectées autorisant l’exécution de scripts malveillants. A l’occasion de ce « patch tuesday », la fonction « autorun » (lancement automatique) a été désactivée car utilisée à des fins malveillantes (propagation d’agents malveillants comme Conficker) par le biais d’une exécution automatique après insertion d’une clé USB sur un ordinateur ou de l’utlisation d’un disque dur externe. |