Microsoft face au défi de la sécurité

Cloud

Garantir autant que possible la sécurité de Windows représente un défi majeur pour Microsoft. Son avenir en dépend, estime Steve Ballmer, qui a livré une stratégie en trois points.

Les dirigeants de Microsoft ne s’y sont pas trompés : la mise en cause, suite aux dégâts provoqués cet été par les vers Blaster et SoBig, de Windows par des particuliers (voir édition du 8 octobre 2003) et par des experts (voir édition du 25 septembre 2003) constitue pour le devenir de l’éditeur une menace aussi grave que l’a été en son temps le procès antitrust. « La période actuelle est déterminante pour l’évolution de notre entreprise », a ainsi déclaré Steve Ballmer à l’occasion de la présentation d’un train de mesures censées mieux sécuriser Windows. Mais, selon lui, l’industrie informatique dans son ensemble est concernée par ce problème. Car ce qui inhibe ce secteur actuellement, l’empêche de proposer des innovations technologiques susceptibles de le relancer, trouve sa cause, d’après Steve Ballmer, dans le contexte actuel d’inquiétude quant à la sécurité des infrastructures informatiques. Microsoft et ses partenaires, et au-delà l’ensemble des acteurs, doivent donc se saisir de cette question. En ce qui le concerne, la première étape a été de faire son mea culpa, notamment à propos de sa gestion actuelle des correctifs (voir édition du 6 octobre 2003).

Une stratégie à triple détente

Steve Ballmer a donc dévoilé jeudi 9 octobre les grandes lignes d’une nouvelle stratégie qui s’articule autour de trois axes : réformer la gestion des correctifs, former les utilisateurs et doter Windows de technologies sécuritaires périphériques, également appelées « technologies boucliers » (shield technology). Ces nouvelles initiatives interviennent deux ans après la stratégie nommée « Trustworthy computing » qui visait à intégrer la question de la sécurité en amont, dès le développement des nouvelles applications. L’amélioration de la gestion des correctifs sera notamment obtenue grâce à une nouvelle version du serveur Software Upgrade Server (SUS) qui sera gratuite pour tous les utilisateurs, d’une utilisation simplifiée et plus automatisée ; la taille des correctifs sera en outre réduite dans une proportion de 30 à 80 %, ce qui accélérera leur téléchargement. Les actions de formation organisées l’an prochain devraient, quant à elles, concerner 50 000 personnes ainsi que 12 000 partenaires.

Mais c’est surtout sur le front des technologies boucliers que l’on attend Microsoft. Elles feront leur apparition à la mi-2004 à l’occasion des prochaines mises à jours de Windows XP et Windows Server 2003. Celles-ci intégreront des protections contre quatre types d’attaques : attaques sur les ports de réseaux, à partir de courriers électroniques ou de codes malicieux placés dans les pages Web, et enfin les dépassements de mémoire. De son côté, Windows Server 2003 sera enrichi de technologies dites d’inspection censées « sécuriser un périmètre autour des réseaux d’entreprise ». Il s’agit en fait de contrôler les utilisateurs distants cherchant à se connecter au réseau, en vérifiant par exemple que leur portable n’est pas infecté.