En Afrique du Sud, l’éditeur s’est vu forcé de retirer une publicité vantant la sécurité de ses produits. Microsoft y expliquait que ses logiciels sont tellement sûrs qu’ils feront des pirates une espèce en voie de disparition. Le législateur a demandé des preuves, et il n’a manifestement pas été convaincu.
Quel est le point commun entre un dodo de l’Ile Maurice, un tigre à dents de sabre, un mammouth et un pirate informatique ?Selon une publicité de Microsoft, tous appartiennent à des espèces disparues.Cette étonnante publicité explique ensuite que les produits de Microsoft sont « tout particulièrement conçus pour protéger les informations de l’entreprise à l’intérieur et laisser les pirates et les virus en dehors . Ce qui veut dire que les données y sont plus en sécurité que dans un coffre. C’est une bonne nouvelle pour la survie de l’entreprise, mais c’est tragique pour les pirates ».On sait bien que le marketing n’est pas la science de l’exactitude. Mais considérant la piètre performance de Microsoft en matière de sécurité, cette campagne atteint des sommets dans le domaine de l’exagération. Mission accomplie, donc, pour ce qui est de provoquer une réaction.Publicité mensongère ?Hélas, la réaction obtenue n’est pas forcément celle attendue : outre les inévitables sarcasmes en masse sur les forums de sécurité et les sites spécialisés tels Slashdot , cette campagne a aussi attiré l’attention de l’organisme de vérification de la publicité en Afrique du Sud.L’Advertising Standards Authority (ASA) a été saisi par un journaliste indépendant qui trouvait cette publicité choquante. L’ASA a donc demandé à Microsoft de justifier ses affirmations en fournissant un avis d’expert crédible et indépendant. L’éditeur n’a rien pu produire de tel, sinon quelques documents techniques internes, relate le site sud africain Itweb .Peu impressionné par les justifications de l’éditeur, l’ASA a jugé la publicité mensongère et a ordonné son retrait.Persistant dans sa démonstration, Microsoft a expliqué qu’il pensait vraiment que ses produits étaient capables de protéger les informations de l’entreprise contre les pirates et autres virus. Et d’ajouter que Windows XP Professional et Windows Server 2003 seraient bientôt audités à l’aune des Critères Communs.Bien sûr, il n’y a pas besoin d’aller très loin pour montrer que ces deux affirmations ne veulent absolument rien dire.La première, par exemple, s’effondre d’elle-même à la lumière des deux récentes failles majeures découvertes à 48 heures d’intervalle, l’une dans toutes les versions de Windows et l’autre dans le couple Windows 2000 / IIS. Cette dernière, connue des pirates avant sa publication, aurait d’ailleurs été à l’origine du récent piratage de serveurs de l’armée américaine . Affaire classée, donc.Quant à la seconde affirmation, qui promet l’évaluation de Windows pour les Critères Communs, il est bon de se souvenir que Windows 2000 bénéficie déjà de ce label de qualité. Cela ne l’a pas empêché d’être frappé par ces deux dernières failles critiques, ainsi qu’une volée d’autres après sa certification.Le processus de certification pour les Critères Communs, au plus haut niveau détenu par Windows aujourd’hui, ne comprend pas de véritable audit technique, d’attaque du produit ou de recherche de failles. Il s’agit simplement d’une coûteuse attestation de bonne volonté de la part de l’éditeur.Seul véritable espoir d’amélioration : Windows Server 2003, qui était en cours de développement lors du réveil de Microsoft vis-à-vis de la sécurité. Le code a ainsi pu bénéficier de procédures d’audit améliorées, et notamment d’une traque aux dépassements de mémoire tampon plus efficace. Ou du moins, plus méticuleuse.Ce sera le vrai test de l’éditeur en matière de sécurité. Jusque là, tout n’est que promesses exagérées, et cette campagne publicitaire en est un exemple flagrant.A moins qu’il ne s’agisse d’un chef d’oeuvre d’auto-dérision à prendre au second degré…