nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à SVM mac : 4 €/mois
Abonnez-vous à 01 Informatique : 19 €/mois
Microsoft veut convertir les éditeurs au développement sécurisé
L'éditeur publiera un guide et des outils gratuits sur son processus Security Development Lifecycle, pour réduire les failles de sécurité.
La sécurité est l'affaire de tous. Dans cet esprit, Microsoft proposera en novembre (la date n'est pas encore connue) des outils et de la documentation gratuits détaillant son modèle de développement d'applications
sécurisé, SDL, Security Development Lifecycle. Celui-ci, utilisé notamment dans le développement de Vista, permettra aux éditeurs et aux développeurs d'optimiser la protection de leurs applications dès les premières étapes de leur
développement.
Hausse de la qualité de l'application et réduction des vulnérabilités
Pour Microsoft, la méthode SDL offre plusieurs avantages : augmentation de la qualité de l'application, réduction du nombre de vulnérabilités existantes et détection et suppression des failles le plus rapidement possible dans le
cycle de développement de l'application.
Windows Vista et le serveur SQL ont été les premiers bénéficiaires de l'utilisation du SDL. ' Le nombre de vulnérabilités sur Windows XP était de 119 mais il a été développé sans SDL.
Avec Vista, le nombre de failles a été divisé par deux.
C'est encore plus marquant avec SQL 2000. Avant SDL, il y a eu
34 vulnérabilités dans les 36 mois qui ont suivi la release. Avec cette méthode, le serveur 2005 n'a connu que trois failles ', précise Eric Mittelette, responsable chez Microsoft de l'équipe relation
technique avec les développeurs.
Pour les experts en sécurité, la production de cette documentation et de ces outils est une bonne chose mais elle ne va pas tout résoudre. ' Il faut aussi que les développeurs lisent la documentation et utilisent
les outils. Autres limites : les développements sont de plus en plus sous-traités, ou confiés à des jeunes sans expérience, et le management n'est pas du tout prêt à assumer le surcoût de la sécurité. Sans parler des sociétés qui vivent avec
une base de code très ancienne à revoir, ou des PME qui n'ont aucune compétence sécurité ', signale Nicolas Ruff, expert en sécurité au centre de recherche de EADS. Mais selon Eric Mittelette, un correctif de sécurité et sa
mise en ligne sont 70 à 100 fois plus chers que l'identification durant la phase de développement.
Un outil, un guide et un réseau
Concrètement, Microsoft va mettre à disposition des développeurs trois éléments qu'ils pourront télécharger. Premièrement, Microsoft SDL Threat Modeling Tool 3.0. Il s'agira d'une version plus accessible que
l'actuel outil gratuit (version 2.1). ' Elle présentera notamment des schémas plus faciles à comprendre pour vérifier, par exemple, si une solution d'authentification est sécurisée. Cet outil fera des
préconisations en matière de testing ', explique Eric Mittelette.
Deuxième élément, Microsoft SDL Optimization Model. Ce guide inclura des retours d'expérience que Microsoft a pu étudier et une aide pour mettre en ?"uvre SDL. Les développeurs et éditeurs pourront aussi s'auto-évaluer
pour savoir où ils se situent par rapport à la sécurité.
Enfin, Microsoft SDL Pro Network : encore en phase de développement, ce réseau regroupera des experts en sécurité. Il sera en phase de test durant la première année avec un nombre limité de clients et neuf partenaires,
principalement américains, parmi lesquels Security innovation, Security university, n.runs... Ces sociétés feront notamment des analyses de menaces et des tests de pénétration sur un site qui souhaite vérifier son niveau de protection.
Microsoft France espère ensuite présenter des sociétés françaises.
A noter que Microsoft SDL Threat Modeling Tool 3.0 et la documentation seront prochainement traduits en français.
L'Etat français s'intéresse aussi à la sécurité des logiciels
Microsoft n'est pas le seul à se préoccuper des vulnérabilités. Le gouvernement français s'y intéresse aussi. Dépendant du secrétaire général de la Défense nationale, la DCSSI (Direction centrale de la sécurité des systèmes d'information) a été chargée de délivrer le label CSPN (Certification de sécurité de premier niveau).
En avril dernier, la DCSSI a autorisé la société rennaise Amossys et le Cesti (Centre d'évaluation de la sécurité des technologies de l'information) de Serma Technologies à mener des évaluations CSPN. Les premières applications bénéficiant du label seront bientôt connues.
Actu précédente
Une bonne leçon pour l'open-source
de
Trollix
, posté le 17 septembre 2008 à 21h06
Le libre et l'open source vont enfin pouvoir jouir de supports de programmation fiables et ainsi éviter de propager des logiciels vérolés.
Depuis le temps qu'ils demandaient des docs de la part de Microsoft ! Et bien en voilà et faîtes en bon usage !
Depuis le temps qu'ils demandaient des docs de la part de Microsoft ! Et bien en voilà et faîtes en bon usage !
alerter le modérateur
C'est bien vrai
de
tutovista
, posté le 18 septembre 2008 à 05h22
Ce que j'ai remarquer en effet c'est que les utilisateurs de linux disent qu'ils sont en sécurité c'est pas vrai vive microsoft
alerter le modérateur
publicité
à lire aussi
SUR LES MÊMES THÈMES 
Nos partenaires