Faut-il (encore) faire confiance à Windows Update ?
Le torchon brûle entre Russ Cooper, du NT Bugtrack, et le Security Response Center de Microsoft.
Par deux fois déjà, l'animateur du forum avait conspué les concepteurs du mécanisme de mise à jour automatique Windows Update, et ce au fil de deux pamphlets intitulés respectivement « The dangers of using Windows Update » et « So Windows Update is a dog, now what? ».
L'épître de cette semaine (« Windows Update is a dog, again! ») s'indigne du fait que, durant quelques temps, le système de mise à jour déclarait certaines machines « propres et ne nécessitant aucune rustine », alors que précisément les noyaux en question présentaient des trous de sécurité digne de Padirac et de la Dent de Crolle réunis.
C'est ce que l'on appelle une « fausse négative », autrement dit une erreur non-découverte par un mécanisme théoriquement destiné à détecter lesdites erreurs.
Voilà qui ressemble furieusement au problème soulevé par Exaprobe et concernant la cécité de certains outils d'inventaire de sécurité.
De la à faire remarquer de façon narquoise que les efforts de Microsoft en matière d'(Un)trustworthy Computing avancent à pas de géant ...
L'affaire serait vite oubliée s'il n'y avait eu des précédents. Notamment la fameuse NTdll.dll, dont les effets imprévisibles n'allaient pas toujours dans le sens que l'on est en droit d'espérer d'un correctif.
Et ce que supporte mal Russ Cooper, ce n'est pas l'existence d'un « bug » découvert dans une rustine.
Depuis que le monde est monde et que les Service Pack se téléchargent, les responsables de parc on appris à se méfier des remèdes miracles et cultivent l'art du « test de non régression » sur des machines sacrificielles.
Mais tout le monde n'est pas « admin » à la tête d'un réseau de 200 postes.
Ce que l'animateur du NT Bugtrack condamne, ce sont les dangers provoqués par l'automatisation de WU. Les responsables réseau qui ne peuvent inféoder leurs mises à jour par le biais d'un tampon SUS (System Update Server), les milliers d'usagers, particuliers, artisans, libéraux, indépendants de tous types qui ne peuvent que faire « confiance » à un outil d'éditeur, tous ces gens sont potentiellement victimes des aléas du serveur de mise à jour.
Bien plus grave, et ce que ne dit pas Russ Cooper, c'est que cette situation est pratiquement sans issue.
Supprimer Windows Update ? Allons donc... une procédure tellement simple -surtout en mode automatique- qu'aucune connaissance n'est requise pour maintenir une machine.
Et les « Krosofties » de clamer « même ma mère est capable de l'utiliser ! »*... c'est dire ! Espérer un jour l'apparition de correctifs parfaits ? Exiger, de la part de Microsoft, une vérification approfondie des codes diffusés ? Voilà qui risque d'allonger considérablement les délais de « divulgation raisonnée », augmenter les risques de ZDE (Zero Day Exploits), et tout çà sans garantie de résultat... même après le contrôle de centaines de personnes et le filtrage de plateformes de test, qui peut prétendre garantir l'immunité d'un « patch » ?
Plus l'informatique se complexifie, plus la certification d'un exécutable ressemble à une équation à N inconnues.
Faut-il baisser les bras et accepter tout ceci comme une fatalité ? Nul ne peut accepter cette façon de voir les choses.
Sans « demander la lune » à Microsoft, l'on peut au moins exiger de sa part un outil d'analyse et d'inventaire un peu plus perfectionné... ce ne serait pas du luxe.
Un moteur de test local gratuit reposant sur une base de donnée en ligne par exemple, un outil qui tournerait le dos aux méthodes actuelles, à l'analyse des correctifs installés par la seule lecture des clefs de la ruche.
Des idées suggérées par Cooper et permettant d'éviter de nouvelles vagues de « fausses négatives ». Pour ce qui concerne les « rustines trouées », peut-être un peu plus de transparence du coté de l'éditeur.
Surtout lorsque les bugs « remontés » concernent un problème typique de « localisation ».
Oh combien de pépins, combien d'inconsistances, qui n'ont pas pu passer la frontière des Ulis, sont partis et ne sont jamais revenus.
Et surtout, surtout, veiller à ce que Microsoft agisse enfin, et ne réponde pas de façon biaisée ou tentes d'éluder la question en invoquant une « diabolisation » du moindre de ses actes.
Il n'est pas question de clouer au pilori les NT et 2000, faire des autodafés d'Exchange et des massacres de SQL Server. En dénonçant les faiblesses de Windows Update, Cooper ne dénigre pas Microsoft et ses produits ; après tout, NT demeure son principal gagne-pain.
Mais il tire un « signal de vigilance » avant qu'il ne devienne un signal d'alarme : il ne suffit pas de sauter sur sa chaise comme un cabri en disant "Trustworthy Trustworthy Trustworthy" pour s'imaginer que la confiance est instaurée, et que tout le monde croit fermement en l'infaillibilité de tout ce qui est estampillé d'un papillon jaune.
* Il faut admettre que nos chères mamans représentent souvent, aux yeux de certains techno-marketeurs, le degré zéro de l'intelligence informatique. Les « my mother's browser » et les « even your mom can do it » remplacent souvent les expressions amphigouriques ou vides de sens parlant « d'interface intuitive » et « d'ergonomie poussée ». Heureusement, nos mamans ne sont pas rancunières.
