Microsoft aussi a du mal à faire corriger les failles des applications tiers
Par les éditeurs et publie le bilan du Microsoft Vulnerability Research


Après Google qui a publié son Guide de bonne conduite sur les règles de divulgation des failles, c'est au tour de Microsoft de montrer l'exemple en termes de programmes de partages visant à améliorer la sécurité autour de sa plateforme Windows.

Dans un rapport publié Mercredi, Microsoft vante les mérites de son programme « Microsoft Vulnerability Research » (MSVR) lancé en Août 2008, où les chercheurs de l'entreprise signalent les failles de sécurité qu'ils découvrent sur les applications des éditeurs tiers et s'engagent à ne les rendre publiques que lorsqu'un correctif est prêt.

Verre à moitié vide ou à moitié plein, on y découvre que les développeurs tiers n'ont corrigé, durant les 12 derniers mois, que 45% des failles qui leurs ont été signalés par l'équipe de sécurité de Microsoft.

Néanmoins, ce chiffre est trois fois supérieure aux maigres 13% de failles corrigés entre Juin 2008 et Juin 2009.

Le rapport explique ce résultat en grande partie à cause de la difficulté de la résolution des failles souvent liée à des problèmes d'architecture bas-niveau qui nécessitent beaucoup de temps et d'effort pour y développer et tester des solutions.

Microsoft prend l'exemple de la vulnérabilité « MS09-035 » d'Active Template Library (ATL), librairie utilisée pour créer des contrôles ActiveX.

Redmond a dressé la liste des 37 éditeurs de logiciels utilisant l'ATL boguée. L'équipe de MSVR a ensuite invité, en privé, ces éditeurs à recompiler et à publier leur code avec l'ATL corrigée.

« Des 37 éditeurs [...], 12 ont mis à jour ATL pour résoudre le problème », constate le rapport.

Seulement douze, pourrait-on dire.

Mais il ne s'agirait pas d'un manque de réceptivité de la part des éditeurs.

Quoiqu'il en soit ce rapport montre une chose : il est extrêmement difficile de faire corriger les failles d'une application à un éditeur tiers. Même quand on s'appelle Microsoft.


Le rapport est disponible en téléchargement sur le site de l'Entreprises aux formats PDF ou XPS.

Source : MSVR progress report (EN)


Lire aussi :

Un groupe anonyme veut se venger de Microsoft après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows

Google veut réinventer les règles de divulgation des failles, et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?


Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Windows
Systèmes



Et vous ?

Que pensez-vous du « mode-opératoire » préconisé par Microsoft pour traiter les problèmes de sécurité ?
Pensez-vous comme Microsoft que les éditeurs tiers n'ont pas colmaté les failles signalées à cause de la difficulté des solutions à mettre en œuvre ? Ou au contraire, par manque d'implication dans les problématiques de sécurité ?



En collaboration avec Gordon Fowler