Microsoft et la sécurité, c’est décidément une bien longue histoire. Nous n’allons certes pas exposer à nouveau l’intégralité du dossier européen en cours, nous l’avons déjà fait lors de notre actualité consacrée aux propos de Kaspersky sur le sujet. Toutefois, il semble clair désormais que le comportement de la firme change sur ce chapitre (entre autres), mais la route sera longue.

La firme de Redmond s’est rendue récemment en Malaisie pour la conférence de hackers nommée « Hack in the Box ». Contrairement à d’autres conférence comme la fameuse Black Hat ou encore la Blue Hat organisée directement dans les locaux de la firme, Hack in the Box était surtout l’occasion pour Microsoft de nouer de nouveaux contacts avec des personnes plus ou moins expertes dans le monde de la sécurité.

Le géant du logiciel multiplie ces initiatives et va directement à la rencontre des hackers pour demander leur avis, voire leur demander de pirater volontairement leurs produits pour en éprouver la « solidité », ce qui est en partie le but des conférences Blue Hat. Windows XP est sorti en 2001, Vista sort en 2007, et presque six années d’écart entre les deux auront vu de vastes changements chez Microsoft. Des changements qui se reflètent d’ailleurs complètement dans la genèse de Vista, avec des tâtonnements et des hésitations.

Toutefois, le véritable succès de Vista risque de se mesurer à sa protection effective contre les menaces en tous genres, et des genres, il en existe un grand nombre. Outre le fait que l’architecture réseau et sécuritaire du système soit différente (entraînant dans son sillage des modifications obligatoires des logiciels de ce secteur), il est encore bien trop tôt pour prédire les retombées de la sortie du système. Les protections seront certainement durement éprouvées et la jeunesse de certaines technologies n’est pas pour aider les experts du domaine à juger de leur efficacité (manque de retours).

Un profil plus bas sur la sécurité pour Microsoft semble être une bonne base pour une approche un peu « humble » de la sécurité dans toute sa généralité. Cependant, il ne suffit pas d’ouvrir un parapluie pour arriver sec chez soi. Joanna Rutkowska, chercheuse en sécurité chez Coseinc, avait été à l’origine du fameux problème ayant abouti à la création de BluePill. Microsoft avait réagi par la suite en expliquant que la technique exploitée pour la démonstration ne pourrait pas être reproduite à la suite de changements. Selon elle toutefois, les développeurs proches du noyau de Vista ne considèreraient pas sérieusement le problème.

Aujourd’hui, même si Microsoft amorce un net changement dans sa manière de procéder, il faudra que la firme continue sur sa lancée et émerge complètement de sa tour d’ivoire. Sarah Blankinship, responsable sécurité chez Microsoft, a tout de même réaffirmé les ambitions du géant à l’occasion de la conférence Hack in the Box :

« Nous venons à des conférences comme Hack in the Box pour nous entretenir avec la communauté des chercheurs en sécurité, pour approfondir nos relations existantes, comprendre les nouvelles technologies, outils et méthodologies, et enfin nous aider à rendre nos produits plus sécurisés et mieux protéger nos clients »