Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.
Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.
slurps constat
Microsoft a depuis bien longtemps une réputation discutable sur les questions de sécurité. Cette réputation continue à le poursuivre, mais il me semble que ce point de vue devrait honnêtement être reconsidéré sur la partie operating system.
En effet, il est souvent reproché à Microsoft d’avoir de nombreuses failles et encore plus de devoir mettre à jour les produits. Néanmoins, il faut aussi rappeler que Microsoft corrige les failles détectées dans ses produits avec une certaine rigueur et cela dans des délais de plus en plus rapides. Les écosystèmes concurrents ne sont pas toujours aussi efficients sur cette question. Bref, je prends donc le patch Tuesday comme une bonne chose du point de vue de la sécurité, même si cela signifie du travail pour les administrateurs système.
slurps réflexion
Pour ceux qui douteraient de mon objectivité sur ce point, je rétablis la balance en vous donnant un lien portant sur les activités de Tippingpoint et proposant un avis différent (trop de lenteur dans la sortie des correctifs). Toutes les opinions sont bonnes pour arriver à un avis objectif. Néanmoins, si la démarche présentée permettra de continuer à faire évoluer les choses, je reste dubitatif sur la méthode (achat de 0days aux chercheurs indépendants).
De plus, depuis maintenant plusieurs années, Microsoft a mis en œuvre un programme destiné à prendre en compte les meilleures pratiques dans le développement des produits. Ce type de mesure est longue à porter ses fruits, mais nous allons (sommes ?) maintenant rentrer dans la bonne période. On notera par ailleurs des changements de paradigme dans les architectures systèmes qui rendent ces dernières plus difficiles à détourner. Non pas que cela soit impossible, mais cela monte le niveau technique et restreint donc defacto le nombre de candidat. Je vous recommande donc de vous rendre sur cette page pour prendre de l’information et vous faire votre propre idée.
Dans une période où la mise en œuvre d’outils d’analyse de code est recommandée, où les certifications sécurité destinées aux développeurs s'étendent, et où les méthodologies intègrent de plus en plus cette dimension, il est intéressant de constater que Microsoft a été parmi les précurseurs et a contribué à défendre et promulguer ces actions. Il en va de son intérêt bien sur, mais cela pousse malgré tout dans une bonne direction.
slurps plus
Par ailleurs, des outils simples d’utilisation sont désormais disponible pour analyser nos OS et faire un point à la fois sur le niveau de mise à jour et sur les basiques de l’OS hardening. Des outils comme ceux-ci, bien que parfois considérés comme incomplets par les experts, me semblent malgré tout plus qu’intéressants car permettant de diffuser une compétence auprès d’un plus grand nombre de personnes.
Voici une première liste des outils qui ont retenu mon attention.
- Microsoft Baseline Security Manager
- Microsoft Security Assesment Tool )
- Microsoft Security Compliance Manager
- SDL Threat Modeling Tool
Cedric
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.