La méthodologie de développement sécurisée SDL (Security Development Lifecycle), Microsoft en a fait un de ses sujets phares depuis 2004. La firme édite aujourd’hui un rapport qui fait le point sur l’impact de cette approche, note Silicon.fr.
Premier enseignement tiré de cette étude : le nombre de failles non corrigées est en nette baisse chez les éditeurs de logiciels.
Chez Microsoft, il reste globalement stable du côté des systèmes d’exploitation et en légère hausse pour les différentes versions d’Internet Explorer (à cause notamment de l’arrêt du support d’IE5.5 et celui annoncé d’IE6). Nous remarquons que les failles les plus faciles à exploiter sont dorénavant découvertes en moins grand nombre que précédemment.
Microsoft fait également le tour des technologies de renforcement de la sécurité, présentes dans chacun de ses systèmes d’exploitation, et de leur utilisation par les éditeurs de logiciels. Le mécanisme de protection DEP (Data Execution Prevention) est disponible depuis Windows XP SP2. Il permet d’éviter que les données puissent être exécutées (une voie souvent utilisée par les pirates).
Très efficace, le DEP n’est pourtant utilisé que dans 71% des logiciels. Développeurs, n’oubliez pas le flag /NXCOMPAT lors de la compilation de votre code !
L’ASLR (Address Space Layout Randomization) permet de mélanger l’espace mémoire attribué à une application, ce qui rend les débordements de tampon très difficiles à exploiter.
Disponible depuis Vista, cette technologie est aujourd’hui active dans 100% des navigateurs Web, mais seulement dans 80,4% des applications (et la plupart du temps partiellement). L’utilisation du flag /DYNAMICBASE lors de la compilation permettrait pourtant d’activer cette fonctionnalité.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…