Journal du Net, 06/2006
Microsoft fait-il ou va-t-il faire de l’ombre aux éditeurs de sécurité ?
Cet article a été rédigé pour le Journal du Net, et publié le 9 juin 2006.
Dès lors que Microsoft se penche sur un domaine, quel qu'il soit, il
fait de l'ombre à ceux qui s'y trouvent déjà. La question n'est donc pas de savoir si ombre il y aura, mais si celle-ci fait courir un risque nouveau, ou accru, aux utilisateurs.
Il est normal que Microsoft cherche à améliorer le niveau de sécurité de ses outils. Des fonctions de limitation comme l'ASLR et l'UAC, au niveau du système d'exploitation, ont leur justification sur le plan de la sécurité.
En matière de sécurité, l'orthogonalité et la séparation des pouvoirs est un impératif. Celui qui fait et celui qui contrôle ne doivent pas être les mêmes. Si les outils de contrôle (anti-virus, anti-logiciels espion, firewall...) sont fortement couplés au système d'exploitation, le risque est de tout perdre en même temps. L'exemple des problèmes d'Internet Explorer est à ce titre instructif, alors qu'il ne s'agit "que" d'un navigateur.
Si les outils de contrôle fournis par Microsoft, afin de sécuriser ses systèmes d'exploitation, sont développés par une entité réellement indépendante de celle qui développe Windows, le risque d'un couplage fort diminue. Si, au contraire, ces développements sont faits par des équipes communes ou très proches, un couplage fort apparaîtra presque naturellement, avec les conséquences négatives que cela aura à la moindre défaillance d'un élément du couplage.