Microsoft vient de publier la 6ème édition de son « rapport sur les données de sécurité » et, le moins que l’on puisse dire, c’est que plus les années passent, plus la famille Windows ressemble à un fromage de Gruyère*. Le nombre total de divulgations a diminué de 12 % par rapport à 2007, et, qualitativement, les vulnérabilités élevées (indice critique) ont reculé de 16% sur la même période de référence. Cela représente tout de même, pour le seul second semestre de l’an passé, 42 bulletins traitant, par le jeu parfois discutable des « bouchons cumulatifs », 97 failles CVE (soit 62% de plus que durant tout le premier semestre de cette même année). Comparativement, il faut remonter au deuxième semestre 2006 pour retrouver une telle profusion de vulnérabilités uniques.
Sur l’ensemble des défauts rapportés, et selon la période, entre 70 et 80 % des défauts ont été communiqués dans le cadre de ce que l’éditeur appelle la « divulgation responsable », autrement dit un échange d’information discret entre l’inventeur et l’éditeur, sans la moindre divulgation publique avant publication d’un correctif. Des années durant, il était fréquent que les chercheurs encourent les foudres des hordes d’avocats de « Corp » en cas de publication un peu trop sauvage. Depuis, chacun des partis a mis de l’eau dans son vin. L’on entend nettement moins parler de poursuites pour divulgation anticipée –ce rôle est désormais tenu par des Oracle, Cisco et consorts- et il est nettement plus rare de voir fleurir des ZDE Microsoft dans les colonnes de Milw0rm ou ailleurs.
Si les exploits Windows sont en très nette diminution, cela ne signifie pas que la plateforme est devenu plus sûre. Les hackers « noir » se rabattent sur d’autres programmes plus vulnérables, moins souvent mis à jour, et leurs attaques Web visent désormais des applications tierces (Acrobat Reader, Flash Player/Realplayer, Quicktime et autres accessoires). Ces vulnérabilités constituent désormais 94,5 % des menaces sous Vista –contre 59% sous XP-. Ce qui prouve que Microsoft cherche à sécuriser le noyau Microsoft, et non nécessairement l’utilisateur de produits Microsoft. Il faut dire qu’à l’exception des outils Secunia ou F-Secure, il n’existe peu de programmes gratuits d’inventaire de failles digne de ce nom. Si l’on peut admettre que les « assessement tools » soient nécessairement des programmes commerciaux dans le domaine professionnel, la chose est plus difficilement explicable dans les sphères « grand-public/tpe/artisans », pour qui l’achat d’un antivirus n’est déjà pas quelque chose de perçu comme absolument indispensable. Microsoft porte toujours une lourde part de responsabilité en continuant d’observer une superbe indifférence à tout ce qui ne porte pas sa propre marque de fabrique. Il faudra bien tôt ou tard que soit intégré au noyau, outre les mécanismes de type UAC, une fonction d’inventaire des vulnérabilités un peu moins autiste que HFNetChk/MBSA. Après tout, ce genre d’accessoire existe sous les principales distributions Linux depuis la nuit des temps.
Détail assez atypique, il semblerait que, sur le créneau des attaques visant la suite bureautique Microsoft Office, la majorité des attaques ne sont efficaces que sur les versions RTM, celles n’ayant fait l’objet d’aucune mise à jour ou colmatage par Service Pack. La chose devient d’ailleurs quasi caricaturale pour ce qui concerne les déjà très vieilles versions d’Office 2000 : il ne se trouve plus de virus à code « portable » qui accepte de ne toucher autre chose qu’un office 2000 « sorti de sa boîte ». Un logiciel qui, pourtant, a eu lui aussi son lot de correctifs et de mises à jour. Les statistiques portant sur les autres éditions –Office XP et 2003- prouvent, si besoin en était, que la surface de vulnérabilité décroît très nettement au fur et à mesure que s’appliquent les correctifs et Service Pack.
La suite de l’étude, plus classique, se penche sur les métriques des malwares : par région, par famille de code, par pays d’émission –les Etats-Unis et la Chine sont toujours en premières places- par secteur d’activité (le viagra arrive premier de la classe), par canal de contamination (Services Web en tête, réseaux sociaux en seconde place)… des estimations qui ne sont guères éloignées des constatations déjà dressées par les principaux observatoires de la profession, que ce soient ceux des différents vendeurs de protection périmétriques ou que ce soient des associations professionnelles telles que l’Antiphishing Working Group.
NdlC note de la Correctrice :… qui, comme chacun sait, ne possède pas le moindre trou, pas plus que n’en ont l’Abondance, la tomme de vache, le Chevrotin, le Beaufort… A ne pas confondre avec l’Emmenthal de Savoie, perforé comme le Mur de la Saint Valentin, ou avec le Reblochon, dont la pate onctueuse renferme de minuscules bulles. Et tout çà, contrairement aux productions de Seattle, uniquement avec du lait de Tarine, de Montbéliarde et d’Abondance.