Microsoft : concevoir un logiciel invulnérable est impossible

Pour le vice-président de Trustworthy Computing

Microsoft : concevoir un logiciel invulnérable est impossible
le vice-président de Trustworthy Computing présente la stratégie de sécurité de la société

Pendant la Security Development Conference de Microsoft qui a eu lieu à San Francisco, Scott Charney, vice-président de Trustworthy Computing (informatique de confiance) de Microsoft, a raconté les épreuves que Microsoft a subi en essayant d'apporter des correctifs à ses processus SDL (Security Development Process).

Microsoft a institué ce processus de développement logiciel en janvier 2004 dans le but de réduire les coûts de la maintenance logicielle et d'augmenter sa fiabilité au niveau sécurité et bogues. La firme en a fait usage et l'a proposé aux entreprises.

Seulement, le processus SDL s'est heurté a des difficultés quand des équipes de production voulaient avancer avec leurs propres produits mais en étaient empêchées par les nouvelles exigences de sécurité de Microsoft. Charney se rappelle de la première fois que Microsoft a eu à dire à une équipe de production qu'elle ne pouvait pas faire usage de la solution qu'elle avait développée ; « ils étaient comme des cerfs dans un phare. »

Bien que SDL ait contribué à réduire considérablement les vulnérabilités, Charney affirme que Microsoft sait qu'elle n'atteindra jamais le seuil de la vulnérabilité zéro. « Ce n'est tout simplement pas possible. Les logiciels sont écrits par des êtres humains et ils commettent des erreurs. »

Et de continuer « La raison pour laquelle nous nous devons de faire du développement sécurité c'est qu'il y a un bon pourcentage de la population qui n'est bon à rien. »

Source : Microsoft Security Development Conference 2013

Et vous ?

Que pensez-vous de ces propos ?