C’est une première : Microsoft se lance dans une croisade sécuritaire. Armé d’un plan à deux volets, l’éditeur veut sécuriser les produits existants et mieux développer les suivants. Le plus étonnant est que les premiers services (gratuits) sont réellement disponibles.
Le « Strategic Technology Protection Program » (STPP) de Microsoft est réellement un plan étonnant. Prenez sa première phase, intitulée « Get Secure » : elle vise à permettre à tout un chacun de sécuriser ses produits Microsoft. Des systèmes d’exploitation à la suite bureautique en passant par le serveur web ou le navigateur, tous les produits ridiculement peu sûr de Microsoft se voient offrir un lifting gratuit.Ainsi, avec le Security Tool Kit, l’éditeur distribue gratuitement un CD-ROM regroupant tous les correctifs de sécurité et des scripts automatisés pour les installer. Mieux : le « Microsoft Personal Security Advisor » (MPSA)n’est rien de moins qu’un scanner de vulnérabilités en ligne gratuit, dédié à Windows NT Workstation et Windows 2000 Professional. D’un clic, MPSA va explorer votre système et vous en dresser son bilan sécurité. Les failles sont classées par ordre d’importance, expliquées et, surtout, un correctif est proposé pour chacune d’elle.Les serveurs ne sont pas oubliés : l’outil HFNetChk contrôle l’état des correctifs de sécurité installés sur le serveur et les met à jour si besoin. Il se fonde pour cela sur une base de données gérée en temps réel par Microsoft. Il contrôle, outre le système d’exploitation NT et 2000, IIS 4 et 5, SQL Server 7 & 2000 et Internet Explorer 5.01 et au delà.Enfin, le cas d’IIS, le serveur web largement critiqué pour son manque de sécurité, est adressé de plus près. Microsoft offre URLScan, un filtre configurable capable d’intercepter les requêtes passées au serveur web afin d’ignorer celles mal formées, point de départ de très nombreuses attaques.La seconde phase de l’opération, appelée « Stay Secure » concerne cette fois-ci plus les développeurs de Microsoft que les utilisateurs. Il s’agit pour l’éditeur de leur apprendre à programmer en pensant à la sécurité. Un vaste projet, mais néanmoins un pas dans la bonne direction.Mise à jour du 05/11/2001Selon notre confrère Newsbyte , les premiers utilitaires proposés par Microsoft pourraient faire plus de mal que de bien. Plusieurs administrateurs système auraient vus leur configuration rendue instable ou moins bien protégée après l’application des outils dédiés. Ainsi, un patch de sécurité pour Windows 2000 rendait certains serveurs inopérants. Microsoft a invoqué une « erreur humaine dans le processus de fabrication du correctif ». Plus récemment, un toolkit envoyé cette semaine aux utilisateurs enregistrés semble effectuer des réglages sur le système sans se soucier de savoir si d’autres modifications plus pertinentes avaient déjà été apportées, les neutralisant et laissant le système dans un état moins sûr qu’à l’origine.