La très volumineuse mise à jour de sécurité proposée par Microsoft hier a marqué l'achèvement de la sixième année de service pour le programme de sorties mensuelles de patchs de la firme.
En effet, Microsoft a instauré en octobre 2003 son "Patch Tuesday" à fonctionnement en cycles mensuels. Depuis cette date, ce sont quelques 400 bulletins de sécurités qui furent édités, pour résoudre près de 745 vulnérabilités sur l'ensemble des produits Microsoft.
Environ 50 % de ces dernières étaient définies comme "critiques" par la société. Ce terme est typiquement utilisé par l'entreprise de Redmond pour désigner des vulnérabilités ouvrant le passage aux hackers afin que ceux-ci puissent prendre le contrôle d'un ordinateur à distance.
Le nombre de failles découvertes augmentent d'année en année. Ainsi, c'est un total de 160 vulnérabilités qui furent patchées de janvier 2009 à maintenant, alors que l'on n'en comptait "que" 155 pour la totalité de l'année 2008. De même, les chiffres ont doublé entre 2005 et 2006.
Et c'est presque avec la régularité d'une horloge que Microsoft dispense ses correctifs. Seules quelques rares exceptions s'inscrivent au tableau des scores : le Patch Tuesday de mars 2007 qui ne proposa aucun patch, tout comme seulement trois autres (dont deux en 2005). Quatre absences en six ans, c'est tout de même remarquable en terme de stabilité.
La compagnie affiche d'ailleurs de belle performance : la mise à jour d'hier fait partie du l'une des deix occasions qui ont vues plus de 20 failles être patchées le même mois.
Cette grande activité vient peut être du fait que les attaquants sont, de nos jours, de plus en plus prompts à exploiter une faille, aussi récente soit-elle. Pour preuve, près de 50 % des vulnérabilités patchées par Microsoft en avril 2009 avaient déjà été exploitées au moment de l'arrivée des correctifs.
David Rice, le président du groupe consultant en sécurité Monterey (du nom de la ville où il est implanté en Californie), remarque l'implication très importante de la firme de Redmond sur le front de la sécurité informatique tout en rajoutant que ces efforts ne doivent pas faiblir.
D'après lui, d'autres vendeurs comme Oracle ou Apple ont également annoncé un grand nombre de vulnérabilités ces dernières années, sans pour autant y avoir investit ne serait-ce que le quart de l'argent ou des ressources avancées par Microsoft dans ce domaine. "Ceci est surtout du à leur manque de motivation pour ce faire" argue-t-il.
Contrairement au secteur automobile, où un véhicule défectueux à un mauvais impact sur les chiffres de ventes ; les logiciels contenant des bugs ne semblent pas avoir pénalisé la rentabilité de leurs éditeurs. "Voilà pourquoi la majorité d'entre eux, dont Apple et Oracle en tête de liste, n'a pas daigné faire mieux niveau sécurisation" continue Rice.
Microsoft, de par sa position de dominante sur le marché de l'informatique personnelle, a gagné un statut de cible préférée des hackers ; qui exploitent la popularité de ses produits pour commettre leurs méfaits. Ceci expliquerait qu'un nombre très important de failles de sécurité soit régulièrement découvert.
"Microsoft s'est investi plus que n'importe quelle autre compagnie dans des pratiques de codage sécurisé, concernant le processus de développement de ses programmes" déclame-t-il pour conclure.
Source : Les archives des bulletins de sécurité de Microsoft
Pensez-vous que les parts de marché très élevées de Windows aient quelque chose à voir dans ces chiffres ? Que pensez-vous de la manière dont Microsoft défend ses produits et les installations de ses clients ? David Jordan, en charge du bureau sécurité pour le gouvernement du conté d'Arlington en Virginie, s'énerve en déclarant que les mises à jour de Microsoft devraient être considérées comme des "rappels de produits" : "N'est-il pas anormal que de tels produits défectueux soient commercialisés ?" demande-t-il en regrettant l'absence de la "tolérence zéro défaults". Que pensez-vous de cet avis ? 
.
Envoyé par Katleen Erna
. Y'a a bien un qui m'avait demandé ce qu'était Linux après avoir entendu un collègue en parler, je lui ait répondu quelque chose du genre "laisse tomber, c'est nul, et tu n'auras pas tes logiciels" (en l'occurrence une vieille version, Win95, de PrintArtist ^^).
