Microsoft veut convertir les éditeurs au développement sécurisé

Philippe Richard

01net.

le 17/09/2008 à 17h40

2 réactions

envoyer
par mail

imprimer
l'article

La sécurité est l’affaire de tous. Dans cet esprit, Microsoft proposera en novembre (la date n’est pas encore connue) des outils et de la documentation gratuits détaillant son modèle de développement d'applications sécurisé, SDL, Security Development Lifecycle. Celui-ci, utilisé notamment dans le développement de Vista, permettra aux éditeurs et aux développeurs d’optimiser la protection de leurs applications dès les premières étapes de leur développement.

Hausse de la qualité de l'application et réduction des vulnérabilités

Pour Microsoft, la méthode SDL offre plusieurs avantages : augmentation de la qualité de l'application, réduction du nombre de vulnérabilités existantes et détection et suppression des failles le plus rapidement possible dans le cycle de développement de l’application.

Windows Vista et le serveur SQL ont été les premiers bénéficiaires de l'utilisation du SDL. “ Le nombre de vulnérabilités sur Windows XP était de 119 mais il a été développé sans SDL. Avec Vista, le nombre de failles a été divisé par deux. C’est encore plus marquant avec SQL 2000. Avant SDL, il y a eu 34 vulnérabilités dans les 36 mois qui ont suivi la release. Avec cette méthode, le serveur 2005 n’a connu que trois failles ”, précise Eric Mittelette, responsable chez Microsoft de l'équipe relation technique avec les développeurs.

Pour les experts en sécurité, la production de cette documentation et de ces outils est une bonne chose mais elle ne va pas tout résoudre. “ Il faut aussi que les développeurs lisent la documentation et utilisent les outils. Autres limites : les développements sont de plus en plus sous-traités, ou confiés à des jeunes sans expérience, et le management n'est pas du tout prêt à assumer le surcoût de la sécurité. Sans parler des sociétés qui vivent avec une base de code très ancienne à revoir, ou des PME qui n'ont aucune compétence sécurité ”, signale Nicolas Ruff, expert en sécurité au centre de recherche de EADS. Mais selon Eric Mittelette, un correctif de sécurité et sa mise en ligne sont 70 à 100 fois plus chers que l’identification durant la phase de développement.

Un outil, un guide et un réseau

Concrètement, Microsoft va mettre à disposition des développeurs trois éléments qu'ils pourront télécharger. Premièrement, Microsoft SDL Threat Modeling Tool 3.0. Il s’agira d’une version plus accessible que l’actuel outil gratuit (version 2.1). “ Elle présentera notamment des schémas plus faciles à comprendre pour vérifier, par exemple, si une solution d’authentification est sécurisée. Cet outil fera des préconisations en matière de testing ”, explique Eric Mittelette.

Deuxième élément, Microsoft SDL Optimization Model. Ce guide inclura des retours d’expérience que Microsoft a pu étudier et une aide pour mettre en œuvre SDL. Les développeurs et éditeurs pourront aussi s’auto-évaluer pour savoir où ils se situent par rapport à la sécurité.

Enfin, Microsoft SDL Pro Network : encore en phase de développement, ce réseau regroupera des experts en sécurité. Il sera en phase de test durant la première année avec un nombre limité de clients et neuf partenaires, principalement américains, parmi lesquels Security innovation, Security university, n.runs… Ces sociétés feront notamment des analyses de menaces et des tests de pénétration sur un site qui souhaite vérifier son niveau de protection. Microsoft France espère ensuite présenter des sociétés françaises.

A noter que Microsoft SDL Threat Modeling Tool 3.0 et la documentation seront prochainement traduits en français.