L'espace presse

Bulletins de la Direction de Microsoft

La sécurité dans un monde connecté

23 janvier 2003

Nous nous appuyons de plus en plus sur Internet pour communiquer et pour développer nos activités commerciales ; aussi importe-t-il plus que jamais de sécuriser la plate-forme informatique. Parallèlement aux immenses bénéfices que nous apporte le développement des réseaux, de nouveaux risques en termes de sécurité sont apparus à un rythme que peu d'entre nous, dans la profession, avaient prévu.

Comme aucun utilisateur d'ordinateur ne l'ignore, la confidentialité, l'intégrité et la disponibilité des données et des systèmes peuvent être compromises de nombreuses façons, depuis les attaques pirates jusqu'aux vers qui rôdent sur Internet. Les atteintes à la sécurité génèrent des coûts considérables.

Bien que beaucoup d'entreprises ne détectent pas ou ne signalent pas les attaques dont elles sont victimes, la récente étude sur la sécurité et les délits informatiques réalisée par le Computer Security Institute et par le FBI a fait état de plus de 455 millions de dollars de pertes financières chiffrées pour les seuls États-Unis, en 2001. Parmi les entreprises interrogées, 74% ont cité leur connexion Internet comme le point d'attaque essentiel.

En tant que leader de l'industrie informatique, Microsoft se doit d'aider ses clients à faire face à ces problèmes, pour qu'ils n'aient plus à choisir entre sécurité et facilité d'utilisation. Il s'agit d'un effort à long terme. Les attaques des réseaux informatiques devenant de plus en plus complexes, nous devons innover dans de nombreux domaines - tels que la gestion des droits numériques, le cryptage des clés publiques, l'authentification multisites et l'amélioration de la protection des réseaux et des ordinateurs - afin de permettre aux utilisateurs de gérer leurs informations en toute sécurité.

Il y a un an, j'ai invité tous les salariés de Microsoft à bâtir pour les utilisateurs un environnement d'informatique de confiance, nommé "Trustworthy Computing", afin que l'informatique devienne aussi fiable que l'électricité qui alimente aujourd'hui nos domiciles et nos bureaux.

Microsoft s'est fixé pour objectif la création de produits combinant le meilleur de l'innovation et une très grande stabilité. Pour atteindre cet objectif, nous nous concentrons sur quatre domaines spécifiques : sécurité, confidentialité, fiabilité et intégrité de l'entreprise. Durant l'année écoulée, nous avons beaucoup avancé sur ces quatre fronts. J'aimerais en particulier vous parler de nos progrès, et des défis auxquels nous sommes encore confrontés dans le domaine de la sécurité.

Afin d'atteindre le plein potentiel de l'informatique pour faire progresser le commerce électronique, instaurer de nouveaux modes de communication et augmenter la productivité, il devient urgent d'améliorer la sécurité de façon radicale. Nos discussions avec nos clients et nos propres études en interne ont clairement fait apparaître que nous devions créer une infrastructure capable de prendre en charge l'innovation, les processus de pointe et les mutations culturelles indispensables si nous voulons avancer de façon fondamentale dans la sécurité de nos logiciels.

Nous avons cette année créé de nouvelles méthodologies de conception de produit, pratiques de codage, procédures de test, de prise en charge des incidents de sécurité et de support produits ; tous ces nouveaux processus répondent aux objectifs d'infrastructure de sécurité suivants :

Sécuriser par la conception :

Début 2002, nous avons pris la décision sans précédent d'interrompre le travail de développement de 8 500 ingénieurs Windows afin de consacrer dix semaines à une formation intensive à la sécurité d'une part, et à l'analyse du code de Windows d'autre part. Bien que les ingénieurs reçoivent à l'université une formation théorique sur la sécurité, il n'existe que très peu de formations à l'écriture de code sécurisé.

Tous nos ingénieurs Windows et plusieurs milliers d'ingénieurs d'autres secteurs de l'entreprise ont reçu une formation spécifique couvrant la programmation sécurisée, les techniques de test et la modélisation des menaces. Le processus de modélisation des menaces, rare dans le monde du logiciel, a appris aux directeurs de programmes, aux architectes et aux responsables des tests à penser comme des agresseurs. Et, de fait, une bonne moitié des bogues identifiés durant l'analyse de sécurité effectuée sur Windows a été découverte au cours d'une analyse des menaces.

Nous avons aussi considérablement progressé dans la façon de réduire le volume du code lié à la sécurité dans un produit vulnérable aux attaques, et dans notre capacité à tester plus efficacement de nombreuses lignes de code. Les tests étant à la fois longs et coûteux, il importe que les défauts soient détectés le plus tôt possible dans le cycle de développement.

Pour déterminer de façon optimale quels tests exécuter à quel point du cycle de conception, Microsoft a développé un système qui établit des priorités dans l'ensemble des tests d'une application donnée, en fonction des changements qui ont été apportés au programme. Ce système est capable d'opérer sur de grands programmes bâtis à partir de millions de lignes de code, et de produire des résultats en quelques minutes, là où auparavant il fallait des heures ou des jours.

L'envergure de nos inspections de sécurité représente un effort sans précédent dans le monde du logiciel, et cet effort commence à payer : les points vulnérables sont éliminés dans des mises à jour comme Windows XP Service Pack 1. Nous avons repensé Visual Studio .NET en apportant des rectifications au niveau de sa conception, en modélisant les menaces possibles et en renforçant la sécurité. Par ailleurs, nous allons, dans les mois à venir, commercialiser d'autres grands produits qui auront subi notre cycle d'examens de sécurité Trustworthy Computing : Windows Server 2003, les prochaines versions de SQL Server et d'Exchange Server, et Office 11.

Pour l'avenir, nous travaillons à une nouvelle architecture matériel/logiciel pour la plate-forme Windows PC (ancien nom de code "Palladium"), qui améliorera notablement l'intégrité, la confidentialité et la sécurité de données des systèmes informatiques en éliminant de nombreux maillons faibles.

Par exemple, n'importe qui peut aujourd'hui consulter la mémoire d'une carte graphique, ce qui bien évidemment est dangereux si cette mémoire contient les transactions bancaires d'un utilisateur ou d'autres informations sensibles. Cette initiative vise entre autres à offrir une mémoire "voilée" - des pages de mémoire qui soient isolées des autres applications et même du système d'exploitation, afin d'empêcher toute observation furtive ainsi que la possibilité d'assurer la sécurité tout au long du cheminement du clavier au moniteur. Cette technologie cautionnera également la fiabilité des données et fournira un stockage "sous scellés", en sorte que seuls les composants logiciels approuvés puissent accéder aux informations sensibles.

Sécuriser par défaut :

Par le passé, toutes les fonctions des produits étaient en général activées par défaut, afin que tout utilisateur puisse les utiliser immédiatement. Aujourd'hui, nous étudions de très près les cas où les produits doivent être préconfigurés comme "fermés", afin que les options les plus sûres soient définies comme paramètres par défaut. Par exemple, dans le prochain Windows Server 2003, des services tels que Content Indexing Service, Messenger et NetDDE seront désactivés par défaut. VBScript est désactivé par défaut dans Office XP SP1. Et l'affichage de cadres dans Internet Explorer est désactivé dans la zone "sites sensibles", ce qui réduit l'éventualité que le mécanisme de cadres soit utilisé dans le courrier électronique HTML comme vecteur d'attaque.

Sécuriser dans le déploiement :

Afin d'aider nos clients à déployer et maintenir nos produits en toute sécurité, nous avons au cours de cette année actualisé et considérablement étendu nos outils de sécurité. Les particuliers et les petites entreprises peuvent maintenir leurs systèmes à niveau via des correctifs de sécurité, et en utilisant la fonction de mise à jour automatique de Windows Update. L'an dernier, nous avons présenté les Software Update Services (SUS) et le Systems Management Server 2.0 SUS Feature Pack afin d'améliorer la gestion des correctifs dans les grandes entreprises.

Nous avons commercialisé Microsoft Baseline Security Analyzer, qui recherche les mises à jour de sécurité manquantes, analyse les configurations pour détecter les paramètres de sécurité dangereux, et explique aux utilisateurs comment corriger les problèmes trouvés. Nous avons également publié des documents de recommandations pour Windows 2000 et Exchange, afin d'aider nos clients à configurer et à déployer nos produits plus sûrement.

En outre, nous travaillons avec un certain nombre de clients importants pour mettre en œuvre des cartes à puce destinées à renforcer la sécurité des mots de passe. Microsoft utilise déjà ces cartes à puce pour l'accès à distance de ses employés, et avec le temps, nous espérons que la plupart des entreprises adopteront de tels systèmes d'identification.

Communications :

Pour tenir nos clients mieux informés des problèmes de sécurité, nous avons l'année passée effectué plusieurs changements importants. Les réactions de nos clients nous ont appris que nos bulletins de sécurité, s'ils sont utiles aux informaticiens professionnels, étaient trop détaillés pour le particulier moyen. Nos clients nous ont dit aussi qu'ils souhaitaient une meilleure différenciation des correctifs de sécurité, pour pouvoir décider auxquels donner priorité.

En réponse, Microsoft a mis au point un nouveau système de notation de la gravité des bulletins de sécurité, et a introduit des bulletins destinés au grand public. Nous sommes également en train de développer un système de notification par courrier électronique ; ainsi, nos clients pourront s'abonner aux bulletins de sécurité qu'ils souhaitent plus particulièrement recevoir.

Nos projets

Ces dix dernières années, les ordinateurs et les réseaux sont devenus partie intégrante des processus de l'entreprise ; ils font partie de la vie quotidienne. Au cours de la décennie numérique qui s'ouvre, des milliards de périphériques intelligents se connecteront à Internet. Cette évolution fondamentale générera des opportunités fabuleuses mais aussi de nouveaux problèmes de sécurité en constante évolution.

Nous avons beaucoup travaillé l'an dernier, mais il nous reste beaucoup à faire, chez Microsoft comme dans toute la profession. Nous avons en 2002 investi plus de 200 millions de dollars dans l'amélioration de la sécurité de Windows, et bien plus encore dans nos travaux de sécurité sur nos autres produits. L'an prochain, nous poursuivrons notre travail avec nos clients, les représentants de l'Administration et nos partenaires industriels afin de livrer des produits plus sûrs et de partager nos découvertes et nos connaissances concernant la sécurité.

Parallèlement, nos clients peuvent nous aider de trois façons :

télécharger tous nos correctifs

utiliser un logiciel antivirus et le maintenir à jour avec les dernières signatures

utiliser des pare-feu

J'aimerais vous en dire davantage sur nos initiatives de sécurité. Si vous souhaitez en savoir plus, visitez notre page d'informations et de liens Site en anglais.


Bill Gates


Pour en savoir plus

ComplémentConsultez ce bulletin en anglaisComplémentSite en anglais

Pixel