Windows de plus en plus étanche

illustration2008110401.jpgEt si Windows était en train de devenir vraiment sécuritaire ? C’est une question qui m’est venu à l’esprit tout à l’heure en lisant le « Security Intelligence Report« , cinquième du nom, un document semestriel très intéressant que Microsoft vient tout juste de rendre public, après, bien sûr, en avoir donné le scoop à John Markoff du New York Times et à Larry Dignan de ZDNet (bof !). On y apprend plusieurs choses. D’abord, que les failles (vulnerabilities), ces erreurs de codage que les malfaiteurs exploitent, continuent de diminuer à travers toute l’industrie, une tendance amorcée l’an dernier, ensuite que le système d’exploitation de Microsoft est en train de devenir beaucoup plus sécuritaire que des applications vedettes qui l’utilisent, dont QuickTime, Real Player, Yahoo WebCam Viewer et WinZip.

illustration2008110402.jpgIl ressort du rapport que malgré leur diminution globale, les failles qui nécessitent une attaque complexe sont en régression, tandis que celles qui peuvent être exploitées facilement sont en recrudescence. Ce qui laisse croire que l’industrie publie des logiciels parfois vite faits grâce auxquels les criminels peuvent atteindre leur objectif, essentiellement l’ajout d’un PC à un botnet (réseau de zombis), ce qu’ils font par toute sorte de passe-passe Web. En fait, le document consacre plusieurs pages au phénomène du botnet et si vous pouvez lire l’anglais, je vous encourage à lire ce passage très bien vulgarisé. C’est d’ailleurs là où j’ai pris l’illustration (que j’ai francisée) au bas de cette chronique.

illustration2008110403.jpgOr, à l’enseigne des failles, Microsoft semble avoir pris les choses au sérieux. Pour en avoir une bonne idée, il suffit de comparer les situations particulières à Win XP et à Win Vista. Dans le premier cas, 42,3 % des failles seraient le fait du système d’exploitation, le reste, 57,7 %, celui des fabricants de logiciels Windows. Mais dans le cas de Vista, les failles pour lesquelles on peut blâmer Microsoft ne représentent plus que 5,7 % de l’ensemble. Et regardez attentivement le tableau ci-contre. Vous y voyez, en mauve, l’évolution de XP de RTM à SP3, vous remarquez l’intérêt de Vista SP1 64 bits sur la version à 32 bits et vous constatez que Win 2000 SP3 est plus étanche que XP SP1. Si l’Empire s’en tape les bretelles, il n’en demeure pas moins que cela est assez inquiétant. Les chiffres colligés pour obtenir de tels résultats semblent provenir de sources crédibles, dont des millions de rapports d’incidents acheminés chez Microsoft.

illustration2008110405.jpg

En combinant les idées de mes deuxième et troisième paragraphe, on en déduit que plus ça va, plus Microsoft bouche ses trous (illustration ci-haut) et moins Windows ressemble à un gruyère. Ce qui signifie qu’il devient de plus en plus difficile pour les criminels d’y débusquer de nouvelles failles et de les utiliser à leurs fins. Ils vont préférer utiliser des applications moins bien vérifiées, des produits provenant d’un peu partout dans l’écosystème du PC. Pour eux, ce sera moins compliqué et, donc, plus payant.

La bonne nouvelle ? Windows semble plus sécuritaire que jamais. La mauvaise ? Les PC sous Windows ne semblent pas l’être tellement plus qu’avant. La morale ? Protégez-vous et n’allez pas traîner n’importe où. Si c’est moins la faute à Microsoft que ce l’était, le cybermal est omniprésent et il vous guette.

illustration2008110404.jpg
Publicités

11 réflexions sur “Windows de plus en plus étanche

  1. mmm

    La plupart des fauteurs de troubles son demeurez sur XP c’est peut être une des raisons pourquoi Vista est moins ciblé ?
    Je crois que la sortie de WIn7 ou plutôt un ans après sa sortie on parlera des énormes failles de ce derniers pour la simple raison que les fauteurs de troubles passeront de XP à WIN7 .

    En ce qui concerne le hameçonnage cela n’es pas la faute à MS mais c’est ce que l’ont appellent un code13 (problème se situe a 13pouces du clavier) et cela ont n’y peut aaaaaaaaaaaa rient pentoute pas même un gonzo sous linux . (gonzo = celui qui à la solution a TOUT les problèmes)

    Chose par contre à lire votre texte M’Dumais , je me suis posé cette question … Les failles découvertes sous WiN7 seront telles valide sous Vista ? Car là , la donne changerais pour beaucoup quand les fatiguants passeront sous WIN7 .

  2. Mouais… :-\

    Un peu sceptique quand même. Je préfère me fier à des avis indépendants plutôt qu’à MS ou à n’importe quel autre éditeur de logiciels.

    Voici pour Vista ce qu’en dit le site Secunia:
    http://secunia.com/advisories/product/13223/?task=statistics

    ET ceci pour Windows XP:
    http://secunia.com/advisories/product/22/?task=statistics

    Bon. Il est fort probable que MS ait réussi à prévenir plus de vulnérabilités qu’avant et c’est très biens ainsi. Ceci étant dit il n’en reste pas moins que le facteur principal de la sécurité c’est encore l’utilisateur lui-même… Et il n’y a aucune technologie qui soit totalement fool-proof. (C’est pas Billou qui s’était laissé aller en disant qu’il n’y avait pas de « patch » à l’imbécilité?)

    Security is a process, not a product a dit Bruce Schneier et c’est encore vrai quel que soit l’OS.

    Les utilisateurs de Windows sont peut-être moins (ou de moins en moins) nonos qu’il paraît… Tant mieux si cela se combine à un OS plus robuste.

    😉

  3. Mais la reelle question de securite est …..Si les fauteur de trouble se concentrais sur OS X ou Linux (ubuntu, FEdora ou etc ) est ce que ces systeme serait considere si securitaire?

  4. @zeek

    La question est plutôt : «Si OS X ou Linux (Ubuntu, Fedora, etc.) étaient des systèmes aussi populaires que Windows présentement, est-ce que les fauteurs de trouble continueraient de se fendre le cul (ou la tête) sur ce dernier ?»

    Dans un autre contexte: vais-je aller voler une banque qui détient 100$ et 3 membres ou une banque qui détient 1 million de $ et 1000 membres ?

    Ou encore: vole-t-on plus de Honda Civic que de Suzuki SX4 ? On vend plus de Civic, alors, il se vole plus de Civic. La force du nombre, facile à comprendre, ça ?

    Note: n’essayez pas de faire des proportions avec mes chiffres, là ! C’est sorti de mon cerveau et vous savez qu’il est fertile ! C’est une image, voyez ?

    La Dauph’indénombrable

  5. @zeek:

    Plusieurs se posaient cette question, très bonne d’ailleurs, et pour en avoir le coeur net, il y a récemment eu un concours de « hacking » qui mettaient en position de vulnérabilité trois systèmes: Un sous Vista, un autre sous Mac OS et finalement Ubuntu. Donc les trois côte-à-côte, à chances égales, sans discrimination envers aucun système, question de prouver VRAIMENT lequel est le plus résistant aux attaques.

    Voici les résultats:

    http://www.linuxinsider.com/story/62378.html
    http://www.macmod.com/content/view/1291/

  6. @ toogreen

    Si le mec qui a hacké et gagné le MacBook Air (parce que c’est le prix qu’il remportait) avait mis ses talents sur Ubuntu, l’histoire serait peut-être différente. 😉 D’autant plus que le mec qui a hacké le Mac avait préparé son coup d’avance en créant un site web malicieux. Que serait-il arrivé si ce même hacker avait préparé son coup en tentant de piéger Ubuntu?

    Bref, ce « concours » n’est pas objectif. Les mêmes hackers ne s’attaquent pas aux mêmes systèmes et machines.

  7. Le problème n’est pas le pourcentage de problèmes reliés à l’OS ou autre. Le problème est le suivant: entre le moment où l’on découvre une faille de sécurité et celui où une mise à jour est publiée pour corriger la faille, combien de jours comptons-nous en moyenne?

    Ici, ce sont des OS libres comme Linux ou OpenBSD qui sont avantagés: peu de développeurs peuvent voir le code source de Windows, ce qui fait que MS doit soit engager du personnel pour régler les failles, soit payer pour du temps supplémentaire. Alors que pour les OS libres, la communauté des développeurs est souvent celle qui découvre et bouche les failles. Et cette communauté a des effectifs illimités…

    On a eu un bel exemple avec les navigateurs (Firefox vs IE) et je ne connais pas d’exemple inverse.

    http://www.clubic.com/forum/debat-sur-l-actu/firefox-plus-vulnerable-qu-ie-selon-symantec-id319414-page1.html

    Comme il est dit dans le texte que j’hyperlie ici, il ne faut pas se fier uniquement au nombre de failles découvertes, mais au temps pris pour leur résolution.

  8. @bpruneau

    Exactement! On peut fermer son code en espérant que personne ne verras les trous. Ou on peut ouvrir le code et permette a tout le monde de voir et d’avertir s’il y a des trou.

    Selon le principe de Kerckhoffs.

    « Le principe de Kerckhoffs a été énoncé par Auguste Kerckhoffs à la fin XIXe siècle dans un article en deux parties La cryptographie militaire du Journal des sciences militaires (vol. IX, pp. 5–38, Janvier 1883, pp. 161–191, Février 1883). Ce principe exprime que la sécurité d’un cryptosystème ne doit reposer que sur le secret de la clef. Autrement dit, tous les autres paramètres doivent être supposés publiquement connus. Il a été reformulé, peut-être indépendamment, par Claude Shannon : « l’adversaire connaît le système ». Cette formulation est connue sous le nom de la maxime de Shannon. C’est le principe le plus souvent adopté par les cryptologues, par opposition à la sécurité par l’obscurité.

    Les chiffres utilisés par les civils respectent en général le principe de Kerckhoffs. Ceux utilisés par les militaires tendent au contraire à utiliser des systèmes secrets. Par exemple, aux États-Unis, le chiffrement dit Type 1 encryption est certifié par la NSA. »

    http://fr.wikipedia.org/wiki/Principe_de_Kerckhoffs

  9. Si IE finit par passer au Webkit, que Windows 7 adopte le ZFS ou ext3, si tous un chacun abandonne Win32 pour .NET, Windows pourra se montrer plus intéressant!

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s