Retour

Retour
Retour
au sommaire

Les autres
articles :

Vivendi et les boîtiers de vote

Canal+ vs. NDS

Tati vs. Kitetoa

kimble

L'affaire PMU

Hackerz Voice

Zataz.com

NASA

antisecurity

levillage.org a quelques problèmes de sécurité avec son serveur

Integra offre son mot de passe administrateur à tous les Internautes

Hotline
Hotline

Envoyé Spécial
"Les Pirates du Net"

Le film Hackers
Le Film

e.creditlyonnais.fr tout nu sur le net
tout nu sur le net ...

I Love You
Le fameux Virus

Détails sémantiques
Quelques précisions sémantiques
sur les pirates

Pages piratées
Quelques
pages piratées

Les undersites
Les undersites

Anonymat sur Internet
Anonymat sur le net

Ordinateur espion ?
Votre ordinateur
est-il un espion ?

Yahoo piraté
Yahoo piraté ?

Kevin Mitnick
Kevin Mitnick

Microsoft, le STPP et la sécurité

Par Capitaine KIDD - 7 octobre 2001



Bon ok. C'est vrai que c'est un peu facile de taper sur Microsoft. Cela a même toujours été un sport international que de taper sur le numéro d'un secteur, quel qu'il soit (AOL, Intel, etc).

Mais là, la tentation est vraiment trop forte. Jugez plutôt : il y a quelques jours (le 3 octobre pour être précis), Microsoft a annoncé la sortie de...
Rrrrrrrrrrr (roulements de tambour)
Tin-tin !!
Ze "Strategic Technology Protection Program".

Waou.

Dernière ce nom pompeux se cache une série d'initiatives pour aider ses clients à se faire pirater un peu moins souvent (to help customers get secure and stay secure en anglais dans le texte). Ce "package" comprendra entre autre : un Security Tool Kit qui incluera tous les patchs nécessaires (une sorte de 'best of" pour se souvenir à quel point les produits Microsoft sont "troués"), un système de mise à jour automatique (pour les administrateurs fainéants), une hotline gratuite pour les problèmes concernant les virus.

Deux remarques sur cette intiative "altruiste" :

1) Il est amusant de voir le temps qu'aura mis Microsoft pour prendre en compte la variable sécurité. D'autant plus qu'il ne sagit pas là d'un engagement à travailler plus proprement dans la conception des logiciels, mais d'assurer une meilleure réactivité en cas de faille ! La différence est de taille.

Il aura fallu deux vers qui attaquent exclusivement les serveurs IIS (Red Code, Nimda), des dizaines de vers/virus pour Outlook, des failles multiples découvertes sur Hotmail (racheté par Microsoft) pour qu'ils remettent un peu les choses en question. Comme le rappelle ZDNet, la société d'études Gartner a même fini par recommander à ses clients de ne plus utiliser IIS.

2) Cependant on peut s'interroger sur l'utilité réelle d'une telle initiative.

En effet, pourquoi autant de serveurs se font-ils encore pirater plusieurs mois après que l'"exploit" ait été rendu public et que le concepteur du logiciel ait publié un patch ?

Loin de nous l'idée de remettre en cause la piètre qualité (en matière de sécurité) des produits vendus par Microsoft, mais les entreprises clientes partagent une partie de la responsabilité. Il existe un problème de prise de conscience dans les entreprises, dans lesquelles la sécurité est bien souvent mise à l'écart pour des raisons évidentes de coût. On se retrouve alors dans des situations abracadabrantesques où l'administrateur réseau n'a :
1) pas les compétences pour mettre en place une politique de sécurité
2) pas le temps de s'occuper d'une telle tâche...
3) ou encore ni les compétences, ni le temps !

En l'absence de cette prise de conscience au sein des entreprises, l'initiative de Microsoft sera un coup d'épée dans l'eau.

www.paranos.com - Tous droits réservés