Microsoft : la protection « avant le virus d’avant le cyber-MS-Store »

Actualités - Documentation - Posté on 19 Juil 2011 at 5:02 par Solange Belkhayat-Fuchs

/GS, Sehop, Aslr, DEP, SafeSEH, Emet… ces sigles barbares désignent une série de techniques décrites dans un très récent mémorandum publié par Microsoft et intitulé « Mitigating Software Vulnerabilities ». Ce n’est pas, loin de là, un ouvrage technique (il ne compte que 25 pages) mais plus exactement une sorte de « pense bête » destiné aux éditeurs et développeurs. Un mémo d’incitation donc, car ils ne sont pas encore nombreux ceux qui adoptent systématiquement ces mécanismes d’adressage aléatoire en mémoire et autres procédés anti-pirates.

Pour Microsoft, cette évangélisation est une course contre la montre. La virtualisation de son catalogue bureautique (Office 365) et serveurs (Azure), l’extension de ses méthodes de vente vers des modèles « marketplace » capables de concurrencer l’App Store d’Apple ou Amazon ou encore l’Android Market, vont peu à peu pousser la Windows Company à revêtir l’habit de boutiquier logiciel sur le Net et l’obliger à commercialiser des produits tiers. Ce qui implique que Microsoft endossera, par la même occasion, la responsabilité des applications qui y seront vendues ou offertes. Lorsque l’on constate l’impact médiatique que provoque un « bug » frappant une application Android ou iPhone, l’on comprend que l’usage systématique d’ASLR/DEP et autres mécanismes techniques de diminution des risques d’intrusion chez les développeurs tiers fasse partie des principaux soucis et cauchemars de Steve Balmer. Cela va bien au-delà d’une simple politique de « logo ». L’on pourrait même envisager que soient instituées des règles de fuzzing aussi systématiques que préventives… pour peu que lesdits outils soient offerts par Microsoft, cela va sans dire. Car La sécurité, c’est avant tout l’affaire de celui qui en retire les principaux avantages marketing. En outre, le fait de faire payer les développeurs tiers pour qu’ils puissent bénéficier d’une certification maison a toujours été un frein au développement du marché. Sun a longtemps voulu faire payer les certifications Java, avec l’insuccès que l’on sait. Et la relative gratuité ou du moins l’absence d’un impôt aussi lourd que le « logo Microsoft » a fait ses preuves sur Android Market.

Laisser une réponse