La sécurité fait couler beaucoup d’encre chez Microsoft. L’an dernier, l’éditeur a ainsi déjà déclaré la « guerre aux codes malicieux » avec le Windows Secure Initiative(avril 2001), puis lancé le Strategic Technology Protection Program (voir notre brève du mois de novembre dernier), censé sécuriser les produits existants et rendre plus sûrs ceux de demain. Aujourd’hui, un email interne envoyé par Bill Gates lui-même à ses troupes annonce le lancement d’une nouvelle initiative, le « Trustworthy Computing ».Dans son allocution, le fondateur de Microsoft exhorte ses employés à désormais toujours choisir la sécurité face à plus de fonctionnalités. Selon Bill Gates, les utilisateurs n’adhèreront pas à la future architecture .Net s’ils n’ont pas confiance en la capacité de Microsoft à garantir la sécurité et la fiabilité des services de la plateforme. Cela devient ainsi, selon Bill Gates, la plus haute priorité de l’éditeur.Cela reste toutefois à voir, tant l’histoire contredit systématiquement les tentatives de Microsoft pour offrir sécurité et fiabilité. Sans avoir a remonter trop loin, prenons l’exemple de .Net, le projet phare de Microsoft. Parmi les composants essentiels de cette plateforme très ambitieuse se trouvent Windows XP, le service Passeport, Internet Explorer 6, le serveur web IIS et l’infrastructure réseau de l’éditeur. Chacun de ces éléments, sans exception, a été victime de plusieurs failles de sécurité extrêmement graves et souvent idiotes ces six derniers mois.Windows XP devait être le système d’exploitation le plus sûr jamais créé par Microsoft (son premier « vrai » OS, de l’aveux même de l’éditeur). Quelques jours à peine après sa sortie, un correctif de 10 mégaoctets était nécessaire, dont la moitié concernait la sécurité. Plus récemment, une faille critique dans le service Universal Plug and Play était découverte, rendant le système potentiellement accessible à quiconque à travers Internet.Passeport devait être un service sécurisé, capable de conserver les données confidentielles des utilisateurs (dont leur numéro de carte bancaire), afin de faciliter leur authentification sur les services de .Net. Une faille gigantesque était découverte au mois de novembre dernier, permettant à quiconque d’accéder à ces informations. Cela aurait pris trente minutes à peine au chercheur à l’origine de la découverte pour compromettre Passeport.Internet Explorer 6 est le navigateur incontournable de Microsoft, vecteur quasi-obligatoire pour utiliser les services .Net. Le nombre de failles gravissimes découvertes sur Internet Explorer est trop important pour les citer ici. La dernière en date permet à n’importe quel site web d’exécuter n’importe quel programme sur le PC de l’internaute (voir notre brève).IIS, le serveur web de Microsoft est l’élément central de publication de l’information. Là aussi, il est régulièrement mis à mal par des failles de sécurité gravissimes. Les dernières grandes épidémies (Code Red ou Nimda, par exemple) exploitaient toutes des failles d’IIS, à tel point que le Gartner Group a recommandé aux entreprises de ne pas utiliser ce serveur web dans leurs projets Internet.L’architecture réseau, enfin, est le nerf des services .Net. La semaine dernière, le service de mise à jour de Windows était inaccessible durant cinq jours en raison d’un problème technique sur le réseau. Microsoft n’avait prévu aucune solution de secours, de serveurs de backup ou de connexion alternative pour pallier à une panne d’un service aussi critique que le Windows Update. Plus tôt cette année, des pans entiers des services Web de Microsoft tombaient lors de la défaillance d’un équipement réseau (DNS ou routeur). Cette fois-ci, des solutions de secours existaient bien, mais elles étaient toutes sur la même branche du réseau, et donc inutilisables. Une erreur, selon certain, qu’un étudiant en seconde année d’école d’ingénieur ne ferait pas. Ainsi, chaque brique essentielle du projet phare de Microsoft a été compromise par des failles de sécurité gravissimes et souvent stupides, lors des derniers mois. Le réveil de Bill Gates n’est donc pas une surprise (d’aucuns se demandaient quand il aurait lieu). La question est plutôt aujourd’hui de savoir si Microsoft a les moyens de sécuriser et fiabiliser ses produits, une démarche très loin de sa culture d’entreprise.