Microsoft : un bug pour papa, un bug pour maman...
Jeff Jones, un Microsoftien appartenant à l'équipe sécurité, publie sur CSO online US une intéressante diatribe intitulée « Windows Vista, 6 mois de rapports de vulnérabilités ». Un rapport ou l'on découvre notamment que le meilleur des noyaux -c'est écrit dans la presse, donc c'est probablement vrai- s'appelle nécessairement Vista, surtout si l'on tente de le comparer à de piètres concurrents tels que Linux Red Hat, Suse de Novell, Mac OS/X, Unbuntu, voir même Windows XP. Inutile de préciser que les commentaires suivant la publication de l'article méritent une lecture attentive, tout comme la réaction de Kristian Hermansen dans les colonnes du Full Disclosure. Les uns accusent l'auteur de comparer des choux et des navets, autrement dit un noyau Vista et une distrib Linux installée avec une multitude d'applications, histoire d'augmenter les statistiques en défaveur des noyaux open source. D'autres font remarquer que la notion de dangerosité d'une faille -ainsi celles pouvant affecter la couche IP V6 de Vista- ne risquent pas de faire pencher la balance en défaveur du monde Windows... faute d'avoir été comptabilisées et corrigée. Une fois de plus, la guéguerre du « comptage de bugs officiels » oppose des experts en statistiques qui aiment à comparer des choses difficilement comparables. Le « nombre de bug sur 6 mois », c'est un peu comme la « vitesse au kilomètre départ arrêté » de la presse automobile ? Autrement dit un sport consistant à mettre en regard les performances d'un véhicule moderne sur une route toute aussi moderne, et celles d'une concurrente sortie un an plus tôt, sur un bitume datant également de la même époque ? Car il y a un an, le paysage des vulnérabilités et des menaces était bien loin de celui que nous connaissons actuellement. Marché des bugs occultes et achetés sous le manteau y compris. En outre, le rapport de Jeff Jones tombe, tout comme les études semblables précédentes, dans le travers très Microsoftien du recensement des seuls bugs « officiels » caractérisés par un bulletin d'alerte. Un bulletin, une faille, que celle-ci soit cumulative ou non. Du coup, l'on escamote singulièrement un nombre important de « bugs dissidents officiels » ou « pas encore répertoriés », sans oublier les probables « totalement ignorés ». Enfin, ce genre de comptabilité soulève une fois de plus l'éternelle question de la définition du trou à prendre en compte. En d'autres termes, de la dangerosité réelle de la faille découverte. Sur ce point, les éléments de quantifications ne peuvent être appréciés qu'a posteriori. Ce sont, par exemple, le nombre et la virulence d'une attaque -virus, exploits..- issus d'une faille. Ce sont également les tressaillements des organismes officiels, les alertes du Sans Institute, les bulletins des différents Cert, autant d'organismes indépendants, qui ne crient généralement « au loup » que lorsque réellement les crocs de celui-ci sont bien visibles. Si nous étions véritablement méchants et de mauvaise foi-mais pourquoi serions nous méchants- l'on devrait également ajouter aux statistiques les quelques centaines de « pseudo drivers 64 bits Vista » qui transforment le noyau en un mélange instable fortement explosif (à tout hasard, les pilotes WHQL des webcams Microsoft) et additionner également les nervousses breakdones des usagers face aux incessantes alarmes d'un UAC plus bavard qu'ergonomique. Mais compter les « impacts de balles », c'est accepter implicitement cette américanisation d'une forme de presse décérébrée qui se limite à relater et comptabiliser, sans vouloir prendre le moindre recul. Pas plus que Fabrice del Dongo ne peut comprendre Waterloo, le bénédictin compteur de bug ne peut ainsi apprécier la solidité d'un noyau. Avec le temps, un sérieux nettoyage des pilotes et des programmes 64 bits, Vista sera peut-être un jour l'un des systèmes les plus stables de son temps. Mais ce ne sera là que le fruit d'un travail de fond, et non d'une propagande autiste se contentant de d'écrire l'histoire au jour le jour, à grand renfort de métriques ponctuelles et limitées.