Après Google qui a publié son Guide de bonne conduite sur les règles de divulgation des failles, c'est au tour de Microsoft de montrer l'exemple en termes de programmes de partages visant à améliorer la sécurité autour de sa plateforme Windows.
Dans un rapport publié Mercredi, Microsoft vante les mérites de son programme « Microsoft Vulnerability Research » (MSVR) lancé en Août 2008, où les chercheurs de l'entreprise signalent les failles de sécurité qu'ils découvrent sur les applications des éditeurs tiers et s'engagent à ne les rendre publiques que lorsqu'un correctif est prêt.
Verre à moitié vide ou à moitié plein, on y découvre que les développeurs tiers n'ont corrigé, durant les 12 derniers mois, que 45% des failles qui leurs ont été signalés par l'équipe de sécurité de Microsoft.
Néanmoins, ce chiffre est trois fois supérieure aux maigres 13% de failles corrigés entre Juin 2008 et Juin 2009.
Le rapport explique ce résultat en grande partie à cause de la difficulté de la résolution des failles souvent liée à des problèmes d'architecture bas-niveau qui nécessitent beaucoup de temps et d'effort pour y développer et tester des solutions.
Microsoft prend l'exemple de la vulnérabilité « MS09-035 » d'Active Template Library (ATL), librairie utilisée pour créer des contrôles ActiveX.
Redmond a dressé la liste des 37 éditeurs de logiciels utilisant l'ATL boguée. L'équipe de MSVR a ensuite invité, en privé, ces éditeurs à recompiler et à publier leur code avec l'ATL corrigée.
« Des 37 éditeurs [...], 12 ont mis à jour ATL pour résoudre le problème », constate le rapport.
Seulement douze, pourrait-on dire.
Mais il ne s'agirait pas d'un manque de réceptivité de la part des éditeurs.
Quoiqu'il en soit ce rapport montre une chose : il est extrêmement difficile de faire corriger les failles d'une application à un éditeur tiers. Même quand on s'appelle Microsoft.
Le rapport est disponible en téléchargement sur le site de l'Entreprises aux formats PDF ou XPS.
Source : MSVR progress report (EN)
Lire aussi :
Un groupe anonyme veut se venger de Microsoft après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows
Google veut réinventer les règles de divulgation des failles, et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?
Les rubriques (actu, forums, tutos) de Développez :
Sécurité
Windows
Systèmes
Et vous ?
Que pensez-vous du « mode-opératoire » préconisé par Microsoft pour traiter les problèmes de sécurité ?
Pensez-vous comme Microsoft que les éditeurs tiers n'ont pas colmaté les failles signalées à cause de la difficulté des solutions à mettre en œuvre ? Ou au contraire, par manque d'implication dans les problématiques de sécurité ?
En collaboration avec Gordon Fowler
Microsoft aussi a du mal à faire corriger les failles des éditeurs tiers
Selon le rapport de son centre de sécurité
Microsoft aussi a du mal à faire corriger les failles des éditeurs tiers
Selon le rapport de son centre de sécurité
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !