Microsoft : un bug pour papa, un bug pour maman...

le 29/06/2007, par Marc Olanié, Documentation, 627 mots

Jeff Jones, un Microsoftien appartenant à l'équipe sécurité, publie sur CSO online US une intéressante diatribe intitulée « Windows Vista, 6 mois de rapports de vulnérabilités ». Un rapport ou l'on découvre notamment que le meilleur des noyaux -c'est écrit dans la presse, donc c'est probablement vrai- s'appelle nécessairement Vista, surtout si l'on tente de le comparer à de piètres concurrents tels que Linux Red Hat, Suse de Novell, Mac OS/X, Unbuntu, voir même Windows XP. Inutile de préciser que les commentaires suivant la publication de l'article méritent une lecture attentive, tout comme la réaction de Kristian Hermansen dans les colonnes du Full Disclosure. Les uns accusent l'auteur de comparer des choux et des navets, autrement dit un noyau Vista et une distrib Linux installée avec une multitude d'applications, histoire d'augmenter les statistiques en défaveur des noyaux open source. D'autres font remarquer que la notion de dangerosité d'une faille -ainsi celles pouvant affecter la couche IP V6 de Vista- ne risquent pas de faire pencher la balance en défaveur du monde Windows... faute d'avoir été comptabilisées et corrigée. Une fois de plus, la guéguerre du « comptage de bugs officiels » oppose des experts en statistiques qui aiment à comparer des choses difficilement comparables. Le « nombre de bug sur 6 mois », c'est un peu comme la « vitesse au kilomètre départ arrêté » de la presse automobile ? Autrement dit un sport consistant à mettre en regard les performances d'un véhicule moderne sur une route toute aussi moderne, et celles d'une concurrente sortie un an plus tôt, sur un bitume datant également de la même époque ? Car il y a un an, le paysage des vulnérabilités et des menaces était bien loin de celui que nous connaissons actuellement. Marché des bugs occultes et achetés sous le manteau y compris. En outre, le rapport de Jeff Jones tombe, tout comme les études semblables précédentes, dans le travers très Microsoftien du recensement des seuls bugs « officiels » caractérisés par un bulletin d'alerte. Un bulletin, une faille, que celle-ci soit cumulative ou non. Du coup, l'on escamote singulièrement un nombre important de « bugs dissidents officiels » ou « pas encore répertoriés », sans oublier les probables « totalement ignorés ». Enfin, ce genre de comptabilité soulève une fois de plus l'éternelle question de la définition du trou à prendre en compte. En d'autres termes, de la dangerosité réelle de la faille découverte. Sur ce point, les éléments de quantifications ne peuvent être appréciés qu'a posteriori. Ce sont, par exemple, le nombre et la virulence d'une attaque -virus, exploits..- issus d'une faille. Ce sont également les tressaillements des organismes officiels, les alertes du Sans Institute, les bulletins des différents Cert, autant d'organismes indépendants, qui ne crient généralement « au loup » que lorsque réellement les crocs de celui-ci sont bien visibles. Si nous étions véritablement méchants et de mauvaise foi-mais pourquoi serions nous méchants- l'on devrait également ajouter aux statistiques les quelques centaines de « pseudo drivers 64 bits Vista » qui transforment le noyau en un mélange instable fortement explosif (à tout hasard, les pilotes WHQL des webcams Microsoft) et additionner également les nervousses breakdones des usagers face aux incessantes alarmes d'un UAC plus bavard qu'ergonomique. Mais compter les « impacts de balles », c'est accepter implicitement cette américanisation d'une forme de presse décérébrée qui se limite à relater et comptabiliser, sans vouloir prendre le moindre recul. Pas plus que Fabrice del Dongo ne peut comprendre Waterloo, le bénédictin compteur de bug ne peut ainsi apprécier la solidité d'un noyau. Avec le temps, un sérieux nettoyage des pilotes et des programmes 64 bits, Vista sera peut-être un jour l'un des systèmes les plus stables de son temps. Mais ce ne sera là que le fruit d'un travail de fond, et non d'une propagande autiste se contentant de d'écrire l'histoire au jour le jour, à grand renfort de métriques ponctuelles et limitées.

Introduction à la ligne de commande Linux

Voici quelques exercices d'échauffement pour ceux qui commencent à utiliser la ligne de commande Linux. Attention, ça peut devenir addictif ! Si vous démarrez dans Linux ou si vous n'avez simplement jamais...

le 12/02/2020, par Sandra Henry-Stocker, Network World (adaptation Jean Elyan), 724 mots

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...