Microsoft et la sécurité :

 

Microsoft france securité
Les alertes pour tous OS, en anglais.

 

- 19 septembre 2002, citation du jour : "Je ne suis pas fier. Nous n'avons pas fait tout ce qui était possible pour protéger nos clients. Nos produits ne sont tout simplement pas conçus pour la sécurité." Brian Valentine, vice-président en charge de Windows, MS.

 

- 16 septembre 2002 : http://techupdate.zdnet.fr/story/0,,t381-s2121457,00.html

 

- novembre 2002 : Microsoft a modifié son barème de sévérité concernant les vulnérabilités découvertes dans ses logiciels. Leur “échelle de Richter du risque informatique“ comporte désormais 4 échelons au lieu de 3 précédemment : “critical“, “important“, “moderate“, et “low“.
http://www.microsoft.com/technet/security/policy/rating.asp
http://www.reseaux-telecoms.net/news_btree/02_11_20_121418_334/News_view

 

- 03/2003, Sécuriser Windows 2000 Server : Ce dossier, disponible en ligne, vient d’être publié sur le site TechNet U.S. Très complet, ce document (en anglais) contient 11 chapitres et aborde en particulier l’évaluation et analyse des risques, la sécurisation des serveurs critiques, et l’administration au quotidien d’un environnement sécurisé. Il est accompagné d’un guide de tests et d’un guide d’implémentation.
Sécuriser Win 2000 server

Les livres blancs NGSCB

 

9/2003 : IRM la bureautique sous scellés.

10/2003 : Steve Ballmer fait des promesses

 

1 article qui explique les différences entre Unix, NW et les NTx

Extrait : "La famille Windows NT – Windows XP, Windows 2000, NT 4.0 et NT 3.x – est réputée pour son insécurité. Pour ma part, je considère que ces platesformes (ainsi que les variantes Novell NetWare et Unix) sont toutes sûres parce qu’elles sont dotées de milliers de « verrous » - des éléments d’OS qui contribuent à la sécurité en permettant de stipuler que seule la personne X peut effectuer l’action Y sur l’objet Z. Mais il existe une différence entre NT et NetWare : bien que les deux OS possèdent de tels verrous, une installation NetWare standard met en place les verrous puis demande aux administrateurs de choisir ceux qu’ils veulent déverrouiller. A l’inverse, une installation NT standard laisse la plupart de ses verrous inactifs puis laisse aux administrateurs le soin de choisir ceux qu’ils veulent. (Cette information ne s’applique pas à Windows Server 2003, dont le concept épouse la stratégie NetWare. Win2K a davantage d’options verrouillées par défaut que NT 4.0 et XP est, en standard, plus strict que Win2K Professional.)"

 

 

 

 

 

- Il existe des statistiques sur la vulnérabilité des systèmes, émanant du CERT de
l'université de Carnegie Mellon. Et ce n'est pas l'OS qu'on croit le plus passoire !

"On trouvera toujours des gens qui auront des arguments soit disant irréfutables et qui citeront tel ou tel article lu ici ou là pour appuyer leur dire. Le monde de l'informatique
(comme le reste du monde) est un monde marchand où tout est faussé. A chacun de se faire son opinion en son âme et conscience."

"Franchement, que cela soit Linux ou Windows qui "gagne" à terme, je m'en fous. Que le meilleur gagne. Cela ne me rapportera rien de plus que cela soit Linux ou Windows
qui l'emporte (je n'ai aucun intérêt économique chez Microsoft ou Mandrake)."

"La seule chose qui importe est que le monde soit meilleur."
comme me l'écrivait un correspondant qui se reconnaîtra.  ;-)

 

La batailles des arguments/contre arguments est non productive à notre niveau utilisateur ! et dangereuse avec les susceptibilités des passionnés intolérants !

J'espère simplement que le marché va s'équilibrer ... comme il l'a souvent fait. Déjà, les  deux, Microsoft et GNU/Linux, ou 3 si on compte Apple, ont gagné leur place sur le marché mondial ! Le marché va choisir ce qui lui convient le mieux ....

 

 

- Le rapport cyber-criminalité 2003 du CLUSIF :
Le club de la sécurité des systèmes d'information français publie son rapport annuel consacré à l’évolution de la cyber-criminalité.

https://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=CYBER-CRIMINALITE

 

 

 

 

 

- Mais d'où viennent parfois ces failles de sécurité ? à cause du langage C et C++ qui est utilisé pour écrire les Windows ! Ceci est bien expliqué dans cet article sur les langages au paragraphe "C, C++, Java et Perl" : http://www.volle.com/travaux/bloch.htm

Extrait de cette page web  : 90 % des problèmes de sécurité que l'on peut relever dans les avis du CERT proviennent de l'exploitation des débordements de buffers par les pirates. Ces débordements sont dus au fait que dans un programme en C le contrôle des limites des zones de mémoire (vérifier qu'un parcours de tableau ne franchit pas les bornes des indices) se fait laborieusement « à la main ». Le plus souvent soit le programmeur ne fait pas ce contrôle, soit il le fait de façon erronée"

 

Attention, les GNU-Linux et ses outils sont aussi souvent écrits en C.

 

 

 

Les réactions récentes de Microsoft pour la sécurité :

http://www.zdnet.fr/actualites/technologie/0,39020809,39125629,00.htm

 

 

- 09/2003 : Microsoft : un risque pour la sécurité nationale ?
"La CCIA (Computer & Communications Industry Association), qui, rappelons-le, rassemble nombre des concurrents de la firme de Redmond, vient de publier un rapport virulent stigmatisant ce qu’elle appelle la "monoculture Microsoft", et les risques que celle-ci ferait courir à la sécurité nationale des états-unis.

Le rapport recommande donc aux administrations américaines d’envisager des alternatives "open source" à Windows et à Office, et demande à Microsoft d’effectuer le portage de sa suite Office sur d’autres systèmes d’exploitation, en particulier Linux."

extrait de http://www.communautech.com/actualites/

 

- 10/2003 : ISA server certifié commoncriteria

 

- fin 2003 : "Avec Windows XP Service Pack 2 (SP2), Microsoft va introduire un ensemble de technologies de sécurité améliorant la capacité des ordinateurs tournant sous Windows XP à supporter des attaques malveillantes de la part de virus et de vers. Ces technologies renforcent :
-La protection du réseau
-La protection de la mémoire
-La sécurité du courrier électronique
-La sécurité de la navigation

 

- 01/2004 : SP2 pour Windows XP très orienté sécurité

 

 

 

 

 

 

 

 

 

La sécurité ...

extrait de : http://www.communautech.com/actualites/

Menaces informatiques : sombres perspectives
Symantec vient de publier son "Internet Security Threat Report" biannuel, qui fait le bilan du 1er semestre 2003 en terme de sécurité informatique, et les informations continues dans ce document ne sont guère réjouissantes, même si l’on tient compte de l’intérêt d’un éditeur d’antivirus à noircir le tableau.

Voici les principaux enseignements de ce rapport :
- 994 nouveaux vers et virus affectant Windows ont été découverts durant le 1er semestre 2003, contre 445 sur la même période en 2002.

- le nombre d’attaques au cours du 1er semestre 2003 a augmenté de 19%.

- chaque organisation mondiale a subi une moyenne de 38 attaques par semaine (à comparer à 32 durant le 1er semestre 2002).

- les attaques comportant une création de "backdoor" augmentent sensiblement, passant de 11 à 17.

- Les créateurs de virus ciblent les vulnérabilités les plus récentes : 64% des attaques recensées visaient ainsi des failles divulguées depuis moins d’un an. Le ver Blaster est ainsi apparu 26 jours après la publication du bulletin Microsoft dévoilant la faille RPC de Windows.

- 66% des attaques recensées exploitaient des failles critiques.

- les attaques virales sont de plus en plus sophistiquées et rapides, et utilisent de plus en plus fréquemment les nouveaux vecteurs de propagation que sont les systèmes d’échange de fichiers ou de messagerie instantanée. Sur les 50 virus et vers les plus répandus, 19 utilisaient ces moyens de dissémination.

- 60% des attaques sont désormais mixtes, au sens où elles combinent code malfaisant et exploitation de vulnérabilités existantes

Symantec recommande les pratiques suivantes afin d’optimiser le niveau de protection des systèmes d’information (rien de révolutionnaire, mais toujours bon à rappeler) :

- désactiver les services inutiles
- appliquer rapidement les correctifs de sécurité disponibles
- mettre en place une politique stricte de mots de passe
- configurer les serveurs de messagerie afin qu’ils bloquent ou suppriment les courriels contenant des pièces jointes de type vbs, .bat, .exe, .pif ou .scr
- isoler rapidement les systèmes infectés, pratiquer une analyse détaillée, et les restaurer à partir de médias sûrs
- former les utilisateurs à ne pas ouvrir les pièces jointes, sauf si celles-ci sont attendues.
demander le rapport de Symantec

 

 

2004 :

Linux et Windows aussi peu sûrs !

Le point fin Mars 2004 sur les avancées de MS sur la sécurité
 


- Microsoft et Cisco, les 2 leaders du marché sont moyens en sécurité. Pour éviter un Pearl Harbor numérique, il faut obliger tous les éditeurs et fabricants de matériels informatique et réseaux a appliquer des règles draconiennes. On pense que vers 2010, on n'aura plus le choix de continuer à laisser des systèmes fragiles gérer nos vies ! La liberté et son pendant anarchique aura vécu sur le net et dans nos entreprises.

 

 

  

retour au sommaire chronologie des  OS