Un nouveau correctif de Microsoft comble les failles d’un précédent
Encore un correctif de sécurité à appliquer à Internet Explorer, non pas pour combler de nouvelles failles mais pour renforcer une précédente rustine. Forcé de constater l’échec de sa politique de patch, Microsoft envisage une nouvelle stratégie sécuritaire.
Microsoft vient de mettre en ligne un nouveau correctif de sécurité (n° 828750), non pas pour corriger une nouvelle faille mais pour combler les lacunes d’une précédente rustine, la MS03-032. Celle-ci devait notamment empêcher l’exploitation d’une faille d’Internet Explorer (5.01, 5.5 et 6.0) liée à l’instruction « Object Data » et d’autres fonctions DHTML, notamment associées au lecteur Windows Media Player. Ces failles permettent à un attaquant d’exécuter du code sur une machine distante, à partir d’une simple page HTML. Le cheval de Troie Qhosts exploite notamment cette faille pour modifier les paramètres des serveurs de noms de domaines Windows, ce qui lui permet de rediriger les requêtes sur la même machine afin de préparer, éventuellement, une attaque incapacitante. Le patch MS03-032 fut donc le bienvenu. Mais il s’est avéré que le correctif ne remplissait que partiellement sa mission. Microsoft vient donc (enfin) de combler entièrement – on l’espère – la faille avec ce nouveau correctif.
Une autre vision de la sécurité
Il serait bon pour l’éditeur de Windows que ce correctif fonctionne parfaitement car il pourrait, à l’avenir, cumuler les procès à son encontre sur le sujet de la sécurité. L’éditeur de Redmond a notamment confirmé avoir reçu une plainte en justice l’accusant de rendre les ordinateurs sous Windows vulnérables aux virus. Conscient que sa gestion des failles système à coup de correctifs, souvent mal appliqués, n’offre pas la solution idéale aux attaques virales, Microsoft a donc décidé de chercher une autre voie pour protéger les ordinateurs de ses clients. L’éditeur devrait donc prochainement annoncer une nouvelle stratégie sécuritaire dite « Shield technology » (technologie bouclier). Celle-ci viserait à sécuriser l’ordinateur dans son ensemble et non plus les applications propres à Microsoft.
Espérons que cette nouvelle politique ne se limite pas aux effets d’annonce. Il y a plus d’un an, Bill Gates lançait « l’informatique digne de confiance » (Trustworthy Computing) et invitait les employés de Microsoft à privilégier la sécurité dans le développement des produits maison (voir édition du 17 janvier 2002). Force est de constater qu’aujourd’hui, soit l’architecte en chef de Microsoft n’est pas écouté de ses employés, soit il s’agissait d’un discours marketing bien mené pour restaurer la confiance des clients.