Magazine Internet

slurps sécurité - kick #13 - Microsoft et les mises à jour système

Publié le 23 février 2012 par Orangebusinessservices

Miniature de l'image pour Slurps.jpgChaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.

Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

slurps constat

Microsoft a depuis bien longtemps une réputation discutable sur les questions de sécurité. Cette réputation continue à le poursuivre, mais il me semble que ce point de vue devrait honnêtement être reconsidéré sur la partie operating system.

En effet, il est souvent reproché à Microsoft d’avoir de nombreuses failles et encore plus de devoir mettre à jour les produits. Néanmoins, il faut aussi rappeler que Microsoft corrige les failles détectées dans ses produits avec une certaine rigueur et cela dans des délais de plus en plus rapides. Les écosystèmes concurrents ne sont pas toujours aussi efficients sur cette question. Bref, je prends donc le patch Tuesday comme une bonne chose du point de vue de la sécurité, même si cela signifie du travail pour les administrateurs système.

slurps réflexion

Pour ceux qui douteraient de mon objectivité sur ce point, je rétablis la balance en vous donnant un lien portant sur les activités de Tippingpoint et proposant un avis différent (trop de lenteur dans la sortie des correctifs). Toutes les opinions sont bonnes pour arriver à un avis objectif. Néanmoins, si la démarche présentée permettra de continuer à faire évoluer les choses, je reste dubitatif sur la méthode (achat de 0days aux chercheurs indépendants).

De plus, depuis maintenant plusieurs années, Microsoft a mis en œuvre un programme destiné à prendre en compte les meilleures pratiques dans le développement des produits. Ce type de mesure est longue à porter ses fruits, mais nous allons (sommes ?) maintenant rentrer dans la bonne période. On notera par ailleurs des changements de paradigme dans les architectures systèmes qui rendent ces dernières plus difficiles à détourner. Non pas que cela soit impossible, mais cela monte le niveau technique et restreint donc defacto le nombre de candidat. Je vous recommande donc de vous rendre sur cette page  pour prendre de l’information et vous faire votre propre idée.

Dans une période où la mise en œuvre d’outils d’analyse de code est recommandée, où les certifications sécurité destinées aux développeurs s'étendent, et où les méthodologies intègrent de plus en plus cette dimension, il est intéressant de constater que Microsoft a été parmi les précurseurs et a contribué à défendre et promulguer ces actions. Il en va de son intérêt bien sur, mais cela pousse malgré tout dans une bonne direction.

slurps plus

Par ailleurs, des outils simples d’utilisation sont désormais disponible pour analyser nos OS et faire un point à la fois sur le niveau de mise à jour et sur les basiques de l’OS hardening. Des outils comme ceux-ci, bien que parfois considérés comme incomplets par les experts, me semblent malgré tout plus qu’intéressants car permettant de diffuser une compétence auprès d’un plus grand nombre de personnes.

Voici une première liste des outils qui ont retenu mon attention.

Cedric


Retour à La Une de Logo Paperblog

A propos de l’auteur


Orangebusinessservices 590 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossier Paperblog

Magazine