Bulletin de la direction de Microsoft

Bill Gates : le point sur les avancées de Microsoft en matière de Sécurité
Comme vous le savez, la Direction de Microsoft émet régulièrement des bulletins d’information sur les évolutions stratégiques et technologiques importantes pour les utilisateurs d’ordinateurs, pour le secteur de l’informatique et pour quiconque se sent concerné par le futur des hautes technologies. Jusqu’à présent, ces bulletins d’information de la Direction de Microsoft existaient uniquement en version anglaise. Nous avons souhaité vous les proposer également en français. Vous trouverez donc ci-dessous la version française du bulletin d’information de Bill Gates sur la sécurité. Ce bulletin reste consultable dans sa version originale sur : http://www.microsoft.com/mscorp/execmail/



Des logiciels malveillants existent depuis des décennies. Mais ces dernières années, Internet, les connexions à haut débit et des millions de nouveaux ordinateurs ont créé un vaste réseau informatique mondial dans lequel un virus peut faire le tour de la planète en quelques minutes.


Dans le même temps, les pirates informatiques mettent en ouvre des techniques de plus en plus sophistiquées, créant des épidémies comme Slammer, Blaster, Sobig et Mydoom, qui se répandent presque instantanément. Ces pirates font peser une menace sur la technologie et sa capacité à développer la productivité, le commerce et les communications.


Les types de menaces évoluent aussi. Par exemple, Blaster, en envahissant les ordinateurs personnels, transforme en diffuseurs de virus, d’innocents utilisateurs qui ne se doutent de rien. Ces attaques – nombreuses et coordonnées afin de provoquer des effets en cascade et surmultipliées – transforment le paysage informatique et les menaces qui pèsent sur la sécurité. Elles imposent aux informaticiens et aux consommateurs d’appliquer de nouvelles mesures préventives tandis que l’industrie informatique se doit d’innover et de développer de nouvelles solutions.


Bien que les défis soient importants, Microsoft et l’industrie informatique ont réalisé des progrès significatifs dans le domaine de la sécurité. Ce courrier présente les avancées significatives de Microsoft dans quatre domaines liés à la sécurité :

  • Isolation et capacité d’autoprotection
  • Mises à jour
  • Qualité
  • Authentification et contrôle d’accès


De plus, nous avons engagé d’importants investissements dans la formation des clients et dans des partenariats qui permettront de rendre l’environnement informatique plus sûr et mieux sécurisé.


Compte tenu de la nature humaine, de l’évolution des menaces et des interconnexions de plus en plus nombreuses entre les ordinateurs, le nombre de failles de sécurité ne sera jamais réduit à zéro. Mais nous pouvons réduire fortement l’impact des cybercriminels et nous consacrons une part importante de nos investissements en R&D à l’amélioration de la sécurité.


Isolation et capacité d’autoprotection


Au cour de nos efforts de sécurité, nous cherchons à empêcher un code malveillant d’exploiter une vulnérabilité en isolant ce code, en permettant un contrôle plus efficace sur ce que peuvent faire les processus dans l’ordinateur et avec quoi ils peuvent interagir, et en rendant les systèmes capables d’identitifer et d’arrêter les comportements dangereux ou suspects.


Windows XP Service Pack 2 : Nous travaillons sur plusieurs techniques d’isolation et d’autoprotection qui répondent à quatre modes spécifiques d’attaques de notre système d’exploitation client. Ces techniques seront disponibles au début de l’été.

  • Protection réseau : le pare-feu de connexion Internet sera actif par défaut. Les paramètres généraux du pare-feu et l’administration centrale de la configuration du pare-feu seront activés. Cela réduit « la surface d’attaque » des PC et des réseaux.
  • Navigation plus sûre sur le Web : Pour réduire l’impact du code malveillant et des sites Web qui peuvent endommager les ordinateurs, Internet Explorer bloquera automatiquement les téléchargements non sollicités en provenance des sites Web ainsi que les fenêtres pop-up sauf si l’utilisateur clique sur un lien de téléchargement. Les administrateurs pourront gérer cette fonctionnalité afin d’appliquer une stratégie cohérente au sein des entreprises. De plus, les paramètres de connexion sans fil seront revus afin de rendre la navigation plus sûre sur les réseaux sans fil domestiques.
  • Une messagerie instantanée et des courriers électroniques plus sûrs : afin de réduire les risques d’attaques, nous renforçons les précautions dans la manipulation des pièces jointes dans Outlook Express et dans la messagerie instantanée Windows Messenger. Nous offrons à l’utilisateur un meilleur contrôle des téléchargements des contenus externes dans Outlook Express qui pourraient permettre à un correspondant d’identifier votre ordinateur.
  • Protection de la mémoire : un logiciel malveillant conçu pour exploiter les dépassements de tampons mémoire copie une importante quantité de données dans certaines zones de la mémoire de l’ordinateur. Bien qu’aucune technique simple ne permette d’éliminer complètement ce type de vulnérabilité, Microsoft applique un certain nombre de techniques pour limiter la portée de ces attaques. Tout d’abord, les composants centraux de Windows ont été recompilés avec la version la plus récente de nos compilateurs afin de contrer les dépassements de pile et ceux de la zone d’allocation dynamique de mémoire. Microsoft collabore avec les fabricants de microprocesseurs comme Intel et AMD afin que Windows prenne en charge la non-exécution (NX) des zones de données, assurée par le matériel. NX sollicite le processeur pour marquer toutes les zones mémoire d’une application comme non exécutables, sauf la zone qui contient explicitement le code exécutable. Ainsi, lorsqu’un virus ou un ver insère un code exécutable dans une partie de la mémoire réservée aux données, ce code ne pourra jamais s’exécuter.


Windows Server 2003 : dans un environnement où chaque ordinateur peut être considéré comme travaillant dans un « monde hostile », notre travail dans Windows Server 2003 a cherché à réduire, à limiter ou à bloquer certaines menaces. Au second semestre 2004, nous prévoyons de fournir des améliorations dans le domaine de la sécurité via Windows Server 2003 Service Pack 1. Elles incluront les technologies mises au point pour Windows XP SP2 et qui s’appliquent au serveur. Afin d’améliorer les techniques d’isolation, le pare-feu sera activé pendant la configuration d’un nouveau serveur afin de renforcer la protection du serveur contre les attaques réseau durant cette phase critique. Nous ajoutons un assistant de configuration de la sécurité : chaque fois qu’un rôle de serveur (par exemple serveur FTP, serveur de fichiers, etc.) sera activé, la sécurité sera adaptée en fonction du modèle d’utilisation spécifique propre à ce rôle.


Internet Security and Acceleration Server (ISA Server) 2004 : les améliorations de la sécurité dans ISA Server 2004 incluent une inspection plus approfondie du contenu. Les clients pourront ainsi mieux protéger leurs applications Microsoft et renforcer les connexions VPN. Des outils d’administration et une interface utilisateur améliorés simplifieront la mise en ouvre et l’administration des stratégies de sécurité, réduisant le risque d’une configuration erronée, cause classique d’intrusion dans un réseau.


Exchange Edge Services : cette nouvelle technologie vise à résoudre les problèmes de sécurité qui se développent autour de la messagerie Internet. Exchange Edge Services est conçu pour bloquer les messages malveillants entrants ou sortants et les messages indésirables, pour se défendre contre les attaques ciblant les serveurs de messagerie et les virus liés à la messagerie, et pour chiffrer les messages afin d’optimiser la sécurité. Cette technologie constitue aussi une base sur laquelle des développeurs indépendants peuvent construire des filtres de messages de nouvelle génération, des produits de chiffrement et des solutions d’analyse des messages.


Technologies de protection active : la conception d’ordinateurs capables de se défendre contre des virus et des vers dont la sophistication croît sans cesse constituerait une bonne solution pour prévenir et bloquer les attaques. Pour parvenir à cet objectif, Microsoft investit dans le développement d’un ensemble intégré de technologies de protection incluant :

  • Une protection dynamique du système qui ajuste de façon proactive les défenses de chaque ordinateur en fonction de toute modification de son état. Par exemple, l’installation d’un nouveau logiciel, une modification de la configuration, le besoin d’une nouvelle mise à jour ou la connexion à différents réseaux peuvent rendre un ordinateur plus vulnérable. Une protection dynamique du système détecte ces modifications et ajuste en conséquence le niveau de protection. Aujourd’hui, les utilisateurs bénéficient déjà de la mise à jour automatique de Windows, mécanisme qui détecte lorsqu’un ordinateur a besoin d’une mise à niveau de sécurité. Microsoft travaille sur des ordinateurs qui, dans le futur, seront capables de détecter des modifications mais aussi de réagir de façon proactive. Par exemple, le déplacement d’un ordinateur portable du réseau de l’entreprise vers un réseau domestique ou une connexion de type DSL provoquera une modification du comportement du pare-feu qui fermera davantage de ports afin de renforcer la sécurité.
  • Le blocage en fonction du comportement limitera la capacité d’un ordinateur infecté par un ver ou un virus à produire d’autres dommages. Un comportement suspect sera détecté et s’il sort de l’ordinaire, l’ordinateur le bloquera. Par exemple, le ver Blaster exploite une vulnérabilité qui provoque la réplication du ver sur d’autres ordinateurs. La technologie de blocage en fonction du comportement détecte ce type d’attaque et la contre.
  • La détection d’intrusion et le pare-feu au niveau applicatif permettent d’identifier un trafic malveillant et de le bloquer. Un pare-feu classique peut être contourné par des vers ou des virus incorporés dans des trames réseau qui ont l’apparence d’un trafic normal. Cette nouvelle technologie permettra une inspection en profondeur du trafic réseau et arrêtera ou limitera la diffusion de contenus malveillants.


Outils anti-spam : les virus, les vers et autres codes malveillants étant souvent diffusés via des messages indésirables (spam), Microsoft part en guerre sur plusieurs fronts pour lutter contre ces messages. En novembre dernier, Microsoft a annoncé la technologie SmartScreen, un filtre utilisé dans nos programmes de messagerie clients et en ligne. Ce filtre devient de plus en plus efficace à mesure que des utilisateurs l’exploitent pour rejeter les courriers indésirables. Le mois dernier, Microsoft a dévoilé une mise en ouvre pilote de Caller-ID, une technologie qui authentifie l’origine d’un courrier électronique, comme la présentation du numéro affiche l’appelant sur un téléphone. Sur le plan juridique, Microsoft a engagé 66 actions en justice l’année dernière contre des auteurs de messages indésirables dans le monde entier.


Inspection des postes clients : dans une entreprise, il faut particulièrement faire attention aux ordinateurs portables infectés en dehors de l’entreprise (par exemple au domicile) et reconnectés ensuite au réseau de l’entreprise. Nous travaillons sur des technologies qui inspectent ces ordinateurs distants et bloquent l’accès au réseau s’ils ne donnent pas un bilan satisfaisant.


Services Web : en 2002, la diffusion de WS-Security, spécification d’un standard pour renforcer l’intégrité, la confidentialité et la sécurité des services Web, a aidé les entreprises à mettre en liaison des systèmes internes et externes, de façon plus souple, mieux sécurisée et moins chère, en permettant le chiffrement des messages et la prise en charge des signatures numériques. Un rapport récent du WS-I Security Profile Working Group propose de nouvelles mesures pour contrer des menaces dans l’élaboration de services Web interopérables.


Mises à jour


Jusqu’à présent, la mise à jour des logiciels a constitué le principal moyen de lutter contre les vulnérabilités en matière de sécurité. Bien que l’évolution permanente des menaces impose une réponse plus large et sur plusieurs fronts, Microsoft continue d’améliorer la qualité de ses mises à jour et des processus associés. Nous construisons des outils plus sophistiqués afin d’aider les administrateurs à optimiser leur infrastructure de sécurité.


Au printemps dernier, nous avons décidé de publier nos mises à jour avec une périodicité mensuelle afin d’en améliorer l’administration et la prévisibilité. Ainsi, nous allégeons le travail des administrateurs. Toutefois, nous continuons de fournir des mises à jour à tout moment pour protéger l’utilisateur au plus vite lorsqu’une nouvelle attaque se fait jour. Nous améliorons aussi les processus de tests afin de minimiser les incohérences dans les mises à jour et de réduire les appels. Cet été, la plupart de nos mises à jour pourront être supprimées si nécessaire, afin de ramener l’ordinateur à son état antérieur.


System Management Server 2003, lancé en novembre dernier, est une solution complète de diffusion et d’administration des logiciels et des mises à jour. Ce produit permet aux entreprises de déployer facilement et rapidement les dernières mises à jour de façon systématique. En janvier 2004, nous avons rendu public Microsoft Baseline Security Analyzer v1.2, un outil gratuit qui identifie les erreurs de configuration les plus courantes dans le domaine de la sécurité.


Windows Update Services, une évolution de Sofware Update Services 1.0 (SUS), constitue une nette évolution dans la stratégie d’administration des mises à jour et des correctifs de Microsoft. Composant gratuit de Windows Server, Windows Update Services facilite pour les administrateurs la mise à jour, l’analyse et l’installation de serveurs et de postes de travail Windows. De nouvelles fonctionnalités renforcent l’automatisation et le contrôle des tâches afin de réduire les interruptions de service lors des mises à niveau. En plus de Windows, le produit s’applique aussi désormais aux mises à jour de SQL Server, d’Exchange Server, d’Office 2003 et d’Office XP. Il existe actuellement en version bêta et devrait être diffusé au second semestre 2004. Pour les utilisateurs, nous complétons aussi Windows Update par un nouveau service qui permettra à chacun de rester à jour sur toute une gamme de produits Microsoft, au-delà de Windows. Ce nouveau service, nommé Microsoft Update, sera disponible dans quelques mois.


Par ailleurs, nous intégrons la fonctionnalité pour vérifier automatiquement l’état de certains éléments de sécurité comme le pare-feu, la mise à jour automatique et l’anti-virus. Une nouvelle fonction du Centre de sécurité dans le Panneau de configuration de Windows XP indiquera à l’utilisateur si les principales fonctions de sécurité sont actives et à jour. Lorsqu’un problème sera détecté, l’utilisateur recevra une notification qui lui indiquera les actions recommandées pour renforcer la sécurité de son système.


Authentification et contrôle d’accès


Les réseaux informatiques ne sont plus des réseaux fermés dans lesquels la simple présence d’un utilisateur sur le réseau peut servir comme preuve d’identité. Lorsque des millions d’ordinateurs sont interconnectés, quand les fournisseurs et les partenaires accèdent au réseau de l’entreprise, il existe de nombreuses opportunités pour que des individus non autorisés accèdent à des informations numériques comme au courrier électronique, à des transactions de commerce électronique et à des fichiers propriétaires. Dans cet environnement, le contrôle d’accès (qui, quoi, quand) et l’authentification constituent des éléments critiques de la sécurité d’une entreprise.


Mots de passe : les mots de passe représentent le mécanisme le plus répandu pour authentifier des utilisateurs qui ont besoin d’accéder à des ordinateurs et à des réseaux. Ils constituent une faiblesse si l’utilisateur choisit des mots de passe simples afin de les mémoriser facilement. La famille Windows Server 2003 comporte une nouvelle fonctionnalité qui vérifie la complexité du mot de passe de l’administrateur pendant l’installation. Si le mot de passe est trop simple ou reste vide, une boîte de dialogue apparaît pour rappeler les dangers d’une telle situation. Nous étudions aussi la prise en charge de mécanismes d’authentification forte à deux facteurs en partenariat avec des entreprises comme RSA Security Inc. et Verisign Inc.


Cartes à puce : Windows Server 2003 et Windows XP prennent en charge les cartes à puce qui stockent en sécurité des certificats, des clés privées et publiques, des mots de passe et d’autres types d’informations personnelles. L’ouverture d’une session sur un réseau avec une carte à puce constitue une authentification forte à deux facteurs car elle utilise une identification basée sur la cryptographie et une preuve de possession de la clé privée : en d’autres mots, l’authentification repose sur quelque chose que vous connaissez (le mot de passe) et sur quelque chose que vous possédez (la carte à puce).


Infrastructure à clé publique (PKI) : Windows Server 2003 facilite la mise en ouvre d’une infrastructure à clé publique, incluant des certificats, des modèles et des services associés. Une PKI fournit les mécanismes nécessaires pour l’émission et la gestion des certificats numériques. En faisant confiance aux autorités émettant les certificats numériques, chaque interlocuteur dans une communication numérique peut déterminer l’identité de l’autre sur présentation de certificats numériques. L’utilisation de cette technologie permet une authentification forte basée sur la technologie PKI standard largement répandue en informatique aujourd’hui.


Carte d’identité biométrique : dans le futur, le système de carte d’identité biométrique résistant à la falsification constituera une solution innovante, simple et abordable qui combine les technologies de cryptographie à clé publique, de compression et de code à barres.


IPSec : il s’agit d’une technique permettant à la fois de chiffrer le trafic pour en assurer la confidentialité et de le signer numériquement pour en assurer l’intégrité. La mise en ouvre d’IPSec chez Microsoft – notre réseau interne l’utilise – est totalement conforme aux standards et fonctionne avec les autres implémentations IPSec, y compris avec celles qui prennent en charge la traduction d’adresses réseau.


Qualité

Comme nous l’avons déjà dit, Microsoft est fortement engagé dans l’application des meilleures pratiques de conception, des règles et des processus pour la création de nos logiciels. Nous appliquons des règles rigoureuses d’excellence dans la conception afin que nos ingénieurs comprennent et utilisent les meilleures techniques dans la conception, le développement, le test et la diffusion de logiciels.


Les processus de développement prenant en compte la sécurité ont été appliqués avant la sortie l’année dernière de Windows Server 2003. Ils montrent déjà des résultats probants qui bénéficient aux utilisateurs. Le nombre de bulletins de sécurité « critiques » ou « importants » émis pour Windows Server 2003, comparés à Windows 2000 Server, sont passés de 40 à 9 pour les 320 premiers jours de commercialisation de chaque produit. De la même manière, pour SQL Server 2000, 3 bulletins seulement ont été émis après la commercialisation du Service Pack 3, à comparer aux 13 bulletins des 15 mois précédant cette version. Pour Exchange 2000 SP3, un seul bulletin a été émis dans les 21 mois qui ont suivi cette version, à comparer aux 7 bulletins des 21 mois précédents.


Nous avons aussi développé de nouveaux outils internes qui scrutent automatiquement le code à la recherche d’erreurs classiques, et qui testent mieux le logiciel avant sa commercialisation. Par exemple, nos outils recherchent systématiquement certaines erreurs de programmation qui conduisent à des vulnérabilités de sécurité, à des arrêts intempestifs ou à des blocages. Nous avons commencé à diffuser ces technologies auprès d’autres développeurs via des formations et des outils, et la prochaine version de Visual Studio les intégrera.


Dans le Service Pack 1 de Windows Server 2003, nous continuerons nos efforts pour réduire la surface des attaques en retirant des technologies anciennes et inutilisées.


Formation des utilisateurs et partenariats


Les meilleures technologies restent inefficaces si personne ne sait comment les utiliser ou ne sait même pas qu’elles existent. Avec des centaines de millions d’utilisateurs d’ordinateurs dans le monde et des niveaux de connaissance de la sécurité très variés, Microsoft a un défi important à relever. Nous devons aider les utilisateurs à comprendre comment ils peuvent améliorer la sécurité de leurs environnements informatiques.


Notre objectif est de fournir à 500 000 entreprises dans le monde, avant la fin de cette année, des informations sur la manière d’optimiser la sécurité de leurs systèmes et de leurs réseaux. Nous travaillons en partenariat avec d’autres grands fournisseurs en informatique pour aider les clients professionnels à optimiser la gestion des mises à jour et les solutions de sécurité. Nous organisons des séminaires et nous diffusons des publications pour les développeurs afin de les aider à construire des applications et des services Web mieux sécurisés.


En avril, Microsoft inaugurera le premier des 21 Security Summits qui se dérouleront dans diverses villes des Etats-Unis [NDLR : les Journées Microsoft de la Sécurité auront lieu en France, du 4 au 6 mai 2004 au CNIT, La Défense]. Ces séminaires constitueront une formation technique en profondeur à la sécurité pour les informaticiens et les développeurs professionnels. Cette formation gratuite complète tout un ensemble d’opportunités que Microsoft propose à ses clients pour les aider à protéger leurs ordinateurs et leurs réseaux, incluant des webcasts, des autoformations et des travaux pratiques. Ces séminaires et formations sur la sécurité sont bien entendu disponibles dans chacun des pays où Microsoft est présente.


Nous avons aussi créé un Espace conseils Microsoft sur la sécurité pour les développeurs et les informaticiens professionnels sur le site http://www.microsoft.com/france/securite/it/ . Les clients peuvent y trouver des conseils techniques détaillés, des outils, de la formation et des mises à jour pour les aider à planifier et à administrer de façon plus efficace leurs stratégies de sécurité. Ces informations gratuites incluent des listes de contrôle afin de vérifier les processus et la sécurité de leurs installations, des instructions pas à pas pour de nombreuses tâches liées à la sécurité, et des guides spécifiques à certains produits et certaines technologies. Elles aident les informaticiens à protéger les plates-formes, les réseaux, les postes de travail et les données.


Pour le grand public, nous préparons une campagne de formation mondiale en partenariat avec des fabricants d’ordinateurs, des revendeurs, des fournisseurs de services Internet et d’autres partenaires, afin de créer une large prise de conscience des meilleures pratiques dans l’utilisation d’un PC. Cela facilitera l’activation par chaque utilisateur des technologies de protection. Cette formation couvre trois aspects : installation d’un antivirus, utilisation du pare-feu Internet et utilisation de la Mise à jour automatique pour obtenir automatiquement les dernières mises à jour Microsoft concernant la sécurité.


Nous nous sommes associés dans cet effort avec des entreprises comme Computer Associates, Network Associates, Symantec, Trend Micro, F-Secure, ISS (BlackICE), Tiny Software et Zone Labs afin de proposer des offres spéciales d’antivirus et de logiciels de pare-feu personnels.


Nous avons contribué au lancement de la Virus Information Alliance qui inclut 10 fournisseurs d’antivirus. Cette organisation doit aider les utilisateurs d’Internet à trouver des informations sur les dernières menaces de virus affectant les technologies Microsoft.


Le mois dernier, la GIAIS (Global Infrastructure Alliance for Internet Safety) a été créée afin de renforcer la collaboration entre Microsoft et les fournisseurs de services Internet en ce qui concerne les problèmes de sécurité. Déjà, des membres de la GIAIS ont joué un rôle très important pour identifier avec Microsoft les signatures du virus MyDoom et pour développer des techniques de protection afin de renforcer la sécurité des consommateurs.


Des experts Microsoft sur la sécurité participent à des initiatives lancées par des organisations gouvernementales afin de renforcer les infrastructures critiques nationales. Ces initiatives s’étendent de la recommandation de processus de conception dans le développement de logiciels jusqu’à une gestion efficace des correctifs, en passant par une réflexion sur la création d’un système économique qui prendrait largement en compte des pratiques robustes de sécurité.


Microsoft travaille aussi sur l’application de lois au niveau mondial qui dissuaderaient les pirates de saboter des logiciels. En novembre dernier, Microsoft a mis en place l’Anti-Virus Rewards Program qui propose une rétribution pour toute information fournie à Interpol ou au FBI ou aux services secrets qui conduirait à l’arrestation et à la condamnation d’auteurs de virus ou de vers.


Le futur


La sécurité informatique représente le plus grand et le plus important défi que notre secteur d’activité ait jamais eu à aborder. Il ne s’agit pas simplement de résoudre quelques vulnérabilités. La réduction de l’impact des virus et des vers à un niveau acceptable requiert fondamentalement une nouvelle façon de penser la qualité des logiciels, des améliorations continuelles dans les outils et les processus, et des investissements soutenus dans de nouvelles technologies de sécurité afin de bloquer les codes destructifs ou malveillants avant qu’ils puissent faire des dégâts. Il faut aussi que les utilisateurs des ordinateurs soient proactifs quant au déploiement et à la gestion des produits. Vous trouverez des informations détaillées vous expliquant comment renforcer votre sécurité sur le site www.microsoft.com/france/securite .


Lors des deux dernières décennies, nous avons franchi un très long chemin. Ne laissons pas les délits de quelques-uns entraver la route du plus grand nombre dans son accès aux immenses progrès de la technologie.


Bill Gates

Leave a Reply

Your email address will not be published. Required fields are marked *


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>