« C’est certain, cette-fois ci, on a tout fait comme il faut, croyez-nous« .Venant de Microsoft, cette rengaine annonce à coup sûr l’arrivée d’un nouveau système d’exploitation.Censé faire oublier les failles à répétition des versions précédentes, ce mantra marketing est aujourd’hui de nouveau à l’honneur, trois mois avant le lancement officiel de Windows Server 2003.Selon l’éditeur, la majeure partie d’un budget de 200 millions d’euros serait allée à la sécurisation de la nouvelle version du système d’exploitation. La totalité du code de Windows aurait été revue. En outre, le système serait désormais livré avec moins d’options activées par défaut, notamment en ce qui concerne le serveur web IIS et le navigateur Internet Explorer, les deux maillons faibles historiques du système.Parmi les nouvelles fonctionnalités annoncées, l’on découvre aussi des méthodes de contrôle d’accès plus granulaires et une amélioration des outils de PKI embarqués par Windows.Du côté de l’organisation interne, beaucoup d’argent aurait été consacré à re-former les programmeurs, afin qu’ils aient enfin quelques notion de sécurité. Microsoft affirme également avoir développé de nouveaux processus de fabrication et de contrôle censés assurer un meilleur suivit des développements. L’éditeur serait maintenant capable de savoir précisément qui a programmé telle ou telle partie de Windows.Enfin, Microsoft affirme avoir amélioré le processus de mise à jour du système, afin de faciliter la mise en oeuvre des correctifs de sécurité (une amélioration bienvenue, considérant que l’éditeur aurait été lui-même infecté par le ver Sapphire car il n’avait pas mis à jour certains de ses propres serveurs SQL).Paroles, paroles…Toutes ces promesses ne sont cependant guère une nouveauté. L’arrivée de Windows 2000 devait déjà marquer une nouvelle étape dans la course à la fiabilité et la sécurité. Si l’édition 2000 est effectivement largement plus stable que les précédentes (ce qui représente difficilement un exploit), sa sécurité a été l’objet d’humiliations répétées, tant les failles étaient nombreuses et généralement très simples.Qu’à cela ne tienne, Windows XP devait, de l’aveu même de l’éditeur, être son « premier vrai système d’exploitation ». Il s’est révélé en fait être tout aussi, sinon plus, vulnérable que Windows 2000. Et cela quelques jours seulement après son lancement (la faille UPnP est un modèle du genre dans le registre des technologies inutiles, mal maîtrisées et implémentées sans aucun recul).Aujourd’hui cependant, les moyens déployés par Microsoft semblent bien réels. Windows Server 2003 sera donc le premier vrai test de l’éditeur en matière de sécurité. Il y aura certainement des failles, car aucun système d’exploitation n’est exempt de défaut, surtout lors de sa mise sur le marché. Mais le vrai problème n’est pas là.L’attention des spécialistes est en effet ailleurs : ils attendent de savoir si cette version là évitera enfin l’habituel lot de failles simplissimes, preuve d’un mépris total de la sécurité, de ses normes et de ses standards.Microsoft affirme avoir appris une leçon. Laissons lui le bénéfice du doute, à la lumière des changements structurels annoncés depuis près d’un an.