Nos confrères de Computerworld viennent de « faire le point » sur 6 années de patch Tuesday. Aucune analyse statistique sur la fréquence ou la dangerosité des défauts, pas la moindre estimation des points faibles les plus remarquables –l’on se doute qu’I.E. conserve une bonne tête de vainqueur-. Quelques points saillants cependant : après avoir investi des sommes soi-disant colossales dans la sécurité du code –supérieures de toute manière à ce que des concurrents tels Apple ou Oracle ont dépensé- le volume des failles ne semble pas diminuer. L’on découvre semaine après semaine des trous antiques qui, telles des casseroles binaires, sont traînées par le noyau NT parfois depuis sa conception. Le nombre de problèmes « exploitables » le jour même de la publication des correctifs ou dans les 10 jours suivant leur publication ne varie pratiquement pas. Parfois même, quelques épiphénomènes font mentir les métriques, ainsi le dernier lot d’octobre, dont 50 % des trous arboraient une livrée cardinalice et faisaient la fierté de quelques auteurs d’exploits. Rappel qui nous permet de rectifier un oubli à propos du travail de Matthieu Suiche sur la MS09-050, sans oublier la divulgation de Laurent Gafié et autres chercheurs.
Bien sûr, il est de bon ton de tirer sur le pianiste, et de rappeler le bon vieux temps des mainframes et de l’école du « ‘zero tolerance for defects ». Ah, qu’ils étaient solides et dépourvus de virus ces 3033 et ces 43xx, sans liaison Internet, reposant sur un réseau SNA plus que propriétaire, avec sa caste de connaisseurs franchement démarquée des administrés et des troupeaux de clients soumettant des travaux « batchés » facturés au prix fort. Avec de tels arguments, même DOS 2.10 pourrait passer pour une citadelle imprenable. Mais il en va de l’informatique comme des amours mortes: les plus anciennes semblent toujours plus belles.
Reste que la question demeure posée : combien de temps encore le « lourd passif de la compatibilité ascendante », des bugs hérités, des DLL instables va-t-il encore empoisonner la vie des administrateurs et des utilisateurs Windows ? Lorsque du passé Microsoft fera table rase, lorsque le poste de travail reposera sur un socle capable de totalement repenser et réécrire un noyau, tout en assurant une compatibilité avec les anciennes applications. Las, ce « futur paravirtualisé » n’est ni pour demain, ni même une absolue certitude.
