Quelle entreprise peut encore faire confiance à Microsoft ? par Glyn Moody

Temps de lecture 10 min

image_pdfimage_print

Le titre se suffit à lui-même ici. On pourrait ajouter aux entreprises, les institutions et les particuliers, bref tout le monde.

Non content d’avoir été accusé par le passé de réserver dans Windows des portes dérobées à la NSA, non content d’être fortement suspecté de laisser les autorités américaines collecter nos données dans Skype, Microsft est maintenant soupçonné de différer la publication de ses patchs de sécurité pour en informer d’abord les mêmes autorités américaines  !

Tout DSI normalement constiué(e) devrait lire cet article et en tirer avec sa direction ses propres conclusions.

Cambodia4kidsorg - CC by

Quelle entreprise peut encore faire confiance à Microsoft  ?

How Can Any Company Ever Trust Microsoft Again ?

Glyn Moddy – juin 2013 – Open Enterprise (Computer World)
(Traduction  : Slystone, Luo, lamessen, Antoine, sinma, Pouhiou, Sky, Fe-lor, aKa, Asta, audionuma + anonymes)

Quels que soient les détails des récentes révélations sur l’espionnage de masse de la part des États-Unis fournis par Edward Snowden dans le Guardian, il y a déjà un énorme bénéfice collatéral. D’un côté, le gouvernement des États-Unis se replie sur lui-même, niant certaines allégations en offrant sa propre version de l’histoire. Cela, et pour la première fois, nous donne des détails officiels sur des programmes dont nous n’étions (au mieux) informés que par fuites et rumeurs, voire pas du tout. De plus, la précipitation indécente et l’histoire sans cesse changeante des autorités américaines est une confirmation, si elle était encore nécessaire, que ce que Snowden a révélé est important — vous ne provoquez pas un tel tapage pour rien.

Mais peut-être encore plus crucial, d’autres journalistes, poussés par la honte et leur culpabilisation, ont finalement posé des questions qu’ils auraient dû poser des années voire des décennies plus tôt. Cela a abouti à une série d’articles extrêmement intéressants à propos de l’espionnage de la NSA, dont beaucoup contiennent des informations auxiliaires qui sont aussi intéressantes que l’histoire principale. Voici un bel exemple de ce qui est apparu durant le week-end sur le site de Bloomberg.

Entre autres choses, il s’agit de Microsoft, et d’évaluer dans quelle mesure ils ont aidé la NSA à espionner le monde. Bien sûr, cette crainte n’est pas nouvelle. Dès 1999, il était déjà dit que des portes dérobées avaient été codées dans Windows  :

Une erreur d’inattention de programmeurs Microsoft a révélé qu’un code d’accès spécial préparé par l’agence nationale de sécurité étasunienne (NSA) avait été secrètement implémenté dans Windows. Le système d’accès de la NSA est implémenté sous toutes les versions de Windows actuellement utilisées, à l’exception des premières versions de Windows 95 (et ses prédécesseurs). La découverte suivait de près les révélations survenues un peu plus tôt cette année concernant un autre géant du logiciel étasunien, Lotus, qui avait implémenté une trappe «  d’aide à l’information  » pour la NSA dans son système Notes. Des fonctions de sécurité dans d’autres logiciels systèmes avaient été délibérément paralysées.

Plus récemment, il y eut des craintes au sujet de Skype, racheté par Microsoft en mai 2011. En 2012, il y a eu des discussions pendant lesquelles on s’est demandé si Microsoft avait changé l’architecture de Skype pour rendre l’espionnage plus facile (l’entreprise a même un brevet sur l’idée). Les récentes fuites semblent confirmer que ces craintes étaient bien fondées, comme le signale Slate  :

Le scoop du Washington Post sur PRISM et ses possibilités présente plusieurs points frappants, mais pour moi un en particulier s’est démarqué du reste. The Post, citant une diapositive Powerpoint confidentielle de la NSA, a écrit que l’agence avait un guide d’utilisation spécifique «  pour la collecte de données Skype dans le cadre du programme PRISM  » qui met en évidence les possibilités d’écoutes sur Skype «  lorsque l’un des correspondants utilise un banal téléphone et lorsque deux utilisateurs du service réalisent un appel audio, vidéo, font du chat ou échangent des fichiers.  »

Mais même cela devient dérisoire comparé aux dernières informations obtenues par Bloomberg  :

D’après deux personnes qui connaissent bien le processus, Microsoft, la plus grande compagnie de logiciels au monde, fournit aux services de renseignement des informations sur les bogues dans ses logiciels populaires avant la publication d’un correctif. Ces informations peuvent servir à protéger les ordinateurs du gouvernement ainsi qu’à accéder à ceux de terroristes ou d’armées ennemies.

La firme de Redmond basée à Washington, Microsoft, ainsi que d’autres firmes œuvrant dans le logiciel ou la sécurité, était au courant que ce genre d’alertes précoces permettaient aux États-Unis d’exploiter des failles dans les logiciels vendus aux gouvernements étrangers, selon deux fonctionnaires d’État. Microsoft ne demande pas et ne peut pas savoir comment le gouvernement utilise de tels tuyaux, ont dit les fonctionnaires, qui ne souhaitent pas que leur identité soit révélée au vu de la confidentialité du sujet.

Frank Shaw, un porte-parole de Microsoft, a fait savoir que ces divulgations se font en coopération avec d’autres agences, et sont conçues pour donner aux gouvernements «  une longueur d’avance  » sur l’évaluation des risques et des mitigations.

Réfléchissons-y donc un moment.

Des entreprises et des gouvernements achètent des logiciels à Microsoft, se reposant sur la compagnie pour créer des programmes qui sont sûrs et sans risque. Aucun logiciel n’est complètement exempt de bogues, et des failles sérieuses sont trouvées régulièrement dans le code de Microsoft (et dans l’open source, aussi, bien sûr). Donc le problème n’est pas de savoir si les logiciels ont des failles, tout bout de code non-trivial en a, mais de savoir comment les auteurs du code réagissent.

Ce que veulent les gouvernements et les compagnies, c’est que ces failles soient corrigées le plus vite possible, de manière à ce qu’elles ne puissent pas être exploitées par des criminels pour causer des dégâts sur leurs systèmes. Et pourtant, nous apprenons maintenant que l’une des premières choses que fait Microsoft, c’est d’envoyer des informations au sujet de ces failles à de multiples agences, en incluant sans doute la NSA et la CIA. En outre, nous savons aussi que «  ce type d’alerte précoce a permis aux U.S.A. d’exploiter des failles dans les logiciels vendus aux gouvernements étrangers  »

Et rappelez-vous que «  gouvernements étrangers  » signifie ceux des pays européens aussi bien que les autres (le fait que le gouvernement du Royaume-Uni ait espionné des pays «  alliés  » souligne que tout le monde le fait). Il serait également naïf de penser que les agences de renseignement américaines exploitent ces failles «  jour 0  » seulement pour pénétrer dans les systèmes des gouvernements  ; l’espionnage industriel représentait une partie de l’ancien programme de surveillance Echelon, et il n’y a aucune raison de penser que les U.S.A. vont se limiter aujourd’hui (s’il y a eu un changement, les choses ont empiré).

Il est donc fortement probable que les faiblesses des produits Microsoft soient régulièrement utilisées pour s’infiltrer et pratiquer toutes sortes d’espionnage dans les gouvernements et sociétés étrangères. Ainsi, chaque fois qu’une entreprise installe un nouveau correctif d’une faille majeure provenant de Microsoft, il faut garder à l’esprit que quelqu’un a pu avoir utilisé cette faiblesse à des fins malveillantes.

Les conséquences de cette situation sont très profondes. Les entreprises achètent des produits Microsoft pour plusieurs raisons, mais toutes supposent que la compagnie fait de son mieux pour les protéger. Les dernières révélations montrent que c’est une hypothèse fausse  : Microsoft transmet consciencieusement et régulièrement des informations sur la manière de percer les sécurités de ses produits aux agences américaines. Ce qui arrive à ces informations plus tard est, évidemment, un secret. Pas à cause du «  terrorisme  », mais parce qu’il est presque certain que des attaques illégales sont menées contre d’autres pays (et leurs entreprises) en dehors des États-Unis.

Ce n’est rien d’autre qu’une trahison de la confiance que les utilisateurs placent en Microsoft, et je me demande comment un responsable informatique peut encore sérieusement recommander l’utilisation de produits Microsoft maintenant que nous sommes presque sûrs qu’ils sont un vecteur d’attaques par les agences d’espionnage américaines qui peuvent potentiellement causer d’énormes pertes aux entreprises concernées (comme ce qui est arrivé avec Echelon).

Mais il y a un autre angle intéressant. Même si peu de choses ont été écrites à ce sujet — même par moi, à ma grande honte — un nouvel accord législatif portant sur les attaques en ligne est en cours d’élaboration par l’Union Européenne. Voici un aspect de cet accord  :

Ce texte demandera aux États membres de fixer leur peine maximale d’emprisonnement à au moins deux ans pour les crimes suivants  : accéder à ou interférer illégalement avec des systèmes d’informations, interférer illégalement avec les données, intercepter illégalement des communications ou produire et vendre intentionnellement des outils utilisés pour commettre ces infractions.

«  Accéder ou interférer illégalement avec des systèmes d’informations  » semble être précisément ce que le gouvernement des États-Unis fait aux systèmes étrangers, dont probablement ceux de l’Union Européenne. Donc, cela indiquerait que le gouvernement américain va tomber sous le coup de ces nouvelles réglementations. Mais peut-être que Microsoft aussi, car c’est lui qui en premier lieu a rendu possible l’«  accès illégal  ».

Et il y a un autre aspect. Supposons que les espions américains utilisent des failles dans les logiciels de Microsoft pour entrer dans un réseau d’entreprise et y espionner des tiers. Je me demande si ces entreprises peuvent elles-mêmes se trouver accusées de toute sorte d’infractions dont elles ne savaient rien  ; et finir au tribunal. Prouver son innocence ici risque d’être difficile, car en ce cas les réseaux d’entreprise seraient effectivement utilisés pour espionner.

Au final, ce risque est encore une autre bonne raison de ne jamais utiliser des logiciels de Microsoft, avec toutes les autres qui ont été écrites ici ces dernières années. Ce n’est pas uniquement que l’open source est généralement moins cher (particulièrement si vous prenez en considération le prix de l’enfermement livré avec les logiciels Microsoft), mieux écrit, plus rapide, plus sûr et plus sécurisé. Mais par-dessus tout, le logiciel libre respecte ses utilisateurs, les plaçant solidement aux commandes.

Cela vous ôte toute crainte que l’entreprise vous ayant fourni un programme donne en secret à des tiers la possibilité de retourner contre vous ce logiciel que vous avez payé assez cher. Après tout, la plupart des résolutions des bogues dans l’open source est effectuée par des codeurs qui ont un peu d’amour pour l’autorité verticale, de sorte que la probabilité qu’ils donnent régulièrement les failles à la NSA, comme le fait Microsoft, doit être extrêmement faible.

Crédit photo  : Cambodia4kidsorg (Creative Commons By)

13 Responses

  1. Xarkam

    Je me fait l’avocat du diable
    Rappel: http://marc.info/?l=openbsd-tech&am

    Donc, il y a aussi un risque à ne pas utiliser de linux avec la pile ipsec ou tout autres produit utilisant cette pile.

    D’ailleurs, SE-Linux c’est un truc de la nsa, donc là aussi il faut une grande méfiance.

    Rappelons que pour ces foutues backdoor, on en a pour au bas mot une décennie pour purger tout ca.
    Et encore. Tout les matériels l’utilisant ne seront pas forcément remplacé dans les 10 ans.

    Donc bon, avant de faire sont anti primaire Microsoft, il serait de bon ton de garder la mémoire de se qu’il se passe chez nous.

    De toute manière je ne connais pas un gouvernement qui ne veuille contrôler ces citoyens.
    Après, il faut faire un tout petit peut d’analyse sur la masse colossale qui transite par seconde sur le réseau.

    C’est un peut comme si on nous disais, on est capable d’inspecter la totalité des espèces aquatique vivante en une seconde.

    Seule des machines sont capable de le faire afin de réaliser un tri à remonter aux humain.

    Donc, je dirais que la préoccupation est de ne pas apparaître dans les cibles.

    Ha et pour finir, mettrez vous en position d’entreprises développent un logiciel et que les gouvernement vient trouver pour avoir des accès. T’a plutôt intérêt à accepter si tu veux pas avoir une pression colossale sur le dos. Et oui c’est comme ça. Le gouvernement à un pouvoir à faire chier les entreprises que personne d’autres ne possède.

    La seule parade c’est l’open source. Mais faut-il encore que des gens compétant puissent analyser le code pour ne pas se retrouver dans des situations type bsd.

  2. Amic

    Petit contresens : « des codeurs qui ont un peu d’amour pour l’autorité verticale », en fait ils n’ont que peu d’amour…

  3. OpenBar

    Et pendant ce temps au Ministères de la défense:
    http://www.assemblee-nationale.fr/1

    « Contre-Amiral Arnaud Coustillière. De manière générale, les pays anglo-saxons ont choisi de confier l’ensemble de leur cyberdéfense aux services de renseignement. Cela ne correspond pas à notre culture et, en France, un partage des tâches est opéré entre les services de renseignement, d’une part, et l’ANSSI et mes services, d’autre part. Pour reprendre la comparaison avec les milieux, ce qui nous intéresse c’est en quelque sorte le contenant, les métadonnées, tandis qu’il appartient aux services de renseignement de caractériser les intentions et objectifs, le contenu. Ce partage me paraît sain.

    S’agissant de l’utilisation des données personnelles confiées par les utilisateurs à de grandes sociétés opérant dans le domaine de l’Internet, il convient de relever le paradoxe entre cette remise volontaire par tout un chacun et le fait qu’en France l’État ne peut accéder à ces données que de manière extrêmement encadrée, sous le contrôle étroit de la CNIL. En ce qui concerne la prévention, les grands éditeurs de logiciels, dont les produits ont tendance à devenir des normes, ne sont pas forcément moins bons en matière de sécurité de leurs produits que les développeurs de logiciels libres. Ils ont en effet tout intérêt à faire évoluer leur produit commercial et à en assurer la fiabilité dans la durée. Inversement, le logiciel libre est développé par une communauté, parfois à géométrie variable. En tout état de cause, le débat entre logiciel commercial et logiciel libre tourne parfois à la « guerre de religion ».

    Le ministère de la Défense a fait le choix d’un accord-cadre avec Microsoft, ce qui, de mon point de vue, ne présente pas un risque de sécurité supérieur par rapport à l’utilisation de logiciels libres. Dans ce dernier cas, il aurait fallu développer une capacité forte de suivi et de contrôle pour se garantir effectivement contre les risques éventuels. En la matière, il convient d’adopter une approche mesurée et pragmatique, tenant compte à la fois du coût, des risques et de contraintes opérationnelles, dont notamment le lien avec l’OTAN. On peut en outre constater que ce débat sur les logiciels libres a permis d’engager une baisse tendancielle des prix pratiqués par les grands éditeurs de logiciels et, parallèlement, à une décroissance du recours aux logiciels libres. »
    […]
    M. Jean-Yves Le Déaut. Je ne partage votre optimisme sur la question des codes-sources. Nous n’avons jamais rien obtenu de Microsoft. Je pense que l’utilisation de logiciels libres offre plus de garanties.
    Commandant Hervé Mermod, chef du centre d’analyse en lutte informatique défensive du ministère de la Défense (CALID). Pour essayer de compléter les propos de l’amiral, je dirais que les matériels sont aujourd’hui également concernés par les attaques informatiques et l’enjeu se situe davantage sur ce point que dans la maîtrise des codes sources. Les risques se situent dans les nombreux périphériques de systèmes d’information globaux dont le logiciel ne constitue qu’une brique. D’où la politique menée par la DGA et visant à développer des équipements de confiance nationaux en périphérie permettant de maîtriser les risques relevant des systèmes et matériels. On a en effet pu constater des attaques par des portes dérobées installées sur des cartes réseaux ou des clés 3G de fabrication étrangère.

    Le problème n’est pas propre qu’à MS. Bluetouff critiquait des boites comme VUPEN dont le commerce est de vendre des failles 0-day alors que cela est illégale en France de les divulguer publiquement (mais pas de les garder pour soi et de les vendre très cher).
    http://reflets.info/aurora-hackers-

  4. lesoutier

    Un autre petit contresens :
    « Redmond, Washington-based Microsoft » devrait être traduit par
    La firme de Redmond, Washington (sous-entendu état de Washington) Microsoft …

  5. Internet notre ennemi

    De quoi ! Les Américains font de la géopolitique !!! Sans déconner !!! Et on avait pas averti les geeks !!!

    Ah mais c’est pour ça qu’ils ont tous des comptes Gmail et qu’ils disent partout « Google est ton ami ».

    Ah comme quoi dès fois la vie, ça tient à rien hein. On aurait prévu les geeks que les américains n’ont jamais cessé de faire de la géopolitique et bin mes p’tits gars aujourd’hui, vous me croyez, vous me croyez pas, mais on utiliserait de la technologie européenne pour l’informatique et l’Internet.

  6. Ginko

    @Internet notre ennemi,

    On devrait même n’utiliser que de la technologie française ! Comment faire confiance à ces pourris d’anglais ? Ou même aux gens de l’est ? Hein ? Du certifié HADOPI, sans défaut de sécurisation ™ ! Oui monsieur !

    Sérieusement, de vous je ne sais s’il faut rire ou pleurer. Que de persévérance ! Pas un seul billet sans son commentaire. Chapeau bas l’artiste. Maintenant, passer au niveau supérieur, du troll de qualité s’vous plait !

    NB : À prendre au second degré sur les peuples, pas taper, pas taper !

  7. Philo

    Quelles entreprises ? Toutes celles dont l’administration des systèmes informatiques est confiée à des
    personnes n’ayant pas envie de se casser le ciboulot : « Jusque là, (on pense que) tout va bien, et puis
    (presque) tout le monde fait comme ça » !

  8. maxime

    Ils me font bien rire ceux qui défendent encore microsoft et qui n’ont pas compris l’intérêt du logiciel libre et du code source ouvert : LA SÉCURITÉ !
    Vous aurez beau trouver tous les exemples de ratage chez sur GNU/Linux ou BSD que vous voulez la grande différence c’est qu’on est au courant et qu’on peut donc corriger. La deuxième grande différence c’est que ce qui touche BSD ne touche pas une autre distrib.
    Le risque est donc beaucoup moins grand du côté logiciel libre.
    Croire que des logiciel même libre seront infaillibles c’est comme croire en dieu. Ça n’arrivera pas il n’y aura jamais de logiciel infaillible.
    Maintenant si je te dis : tu as le chois entre 2 voiture :
    * une à l’essence et tu sais qu’elle peut exploser si tu fais l’imbécile avec
    * une autre dont on ne sait rien
    Tu choisi quoi imbécile ?
    C’est pas les systèmes qui doivent être infaillibles c’est les admins qui doivent avoir la tête sur les épaules. Si un chauffeur de bus me dit « je sais pas comment il marche mon bus » je monte pas dans son cercueil roulant.

  9. Zizi

    @Xarkam : en te faisant l’avocat du diable, tu oublies de préciser que l’affaire qui concerne IPSec a fait pschit, et qu’il n’a jamais été démontré que des backdoors y avaient été intégrés…

  10. Toni

    @Xarkam : ton « info » est un poil périmée…
    http://arstechnica.com/information-

    @Maxime : pas mal d’outils issus d’OpenBSD sont portés sous *BSD et les distros Linux (OpenSSH, inetd, etc.). Ce qui touche BSD peut toucher une autre distrib. Et contrairement à ce que tu sembles insinuer, la sécurité ne découle pas (seulement) d’un code source ouvert. (Développes-tu toi-même tes propres correctifs ?).
    Je le vois plus comme une volonté, une initiative. Faire confiance à SELinux sans savoir ce qu’il y a dedans ni d’où ça vient n’est pas de la sécurité.

    Une personne comme Theo de Raadt le sait : il a instauré la qualité du code (et donc son audit régulier) comme « religion » au sein de sa distribution. Ca, c’est de la sécurité.

    En même temps, quand on se permet d’insulter le noyau Linux et que Torvalds ne peut répondre que « Monsieur est exigeant », forcément, ça force le respect. 😉
    http://www.forbes.com/2005/06/16/li

    Bonne journée

  11. maxime

    @Toni : lis mieux ce que j’ai écrit quand même ça me ferais plaisir.
    Ça m’est déjà arrivé, avec la fameuse faille depuis 2.4… Sur 12 machine testé il y en avait 1 sur laquelle marchait la fameuse faille super dangereuse (et il fallait un compte utilisateur sur la machine), sur les serveur ovh rien ça marchait pas même avec le bon kernel à cause d’un paramètre de configuration. Donc souvent quand même les exploit sur linux c’est du particulier et la diversité des configuration est bien une parade contre les virus et autres bestioles. OpenSSH est d’ailleurs un super exemple de problème qui ne marche que sur une distrib. Maintenant si t’as un exemple d’exploit qui marche sur toutes les distrib linux + bsd + haiku + beos… la NSA sera sûrement très contente de te l’acheter. Mais tu n’as que de la bouche.

    « Ce qui touche BSD peut toucher une autre distrib » : à le virtuelle, la possibilité, ça ce peu, il paraît….

    En plus j’ai pas dit qu’il n’y avait aucun problème sur linux relis bien stp. J’ai dit que quand on sait ce qu’il y a dans sa machine on est bien plus en sécurité. Quand il est impossible de savoir ce que font tes programmes il est impossible d’être en sécurité.
    Et oui des fois je fais mes propres correctif ne t’en déplaise. Évidemment personne ne connaît par cœur le fonctionnement de sa machine ni même en partie. C’est tout l’intérêt de la communauté. Rare sont les exemples où cette communauté s’est faite avoir et a balancé des sources pourris à ces utilisateurs. Pour windows ou apple c’est tout simplement impossible de savoir si les correctifs corrigent vraiment quelque chose. Même chez micro$ personne ne sait ce qu’il y a dans les sources de windows… Et moi si je m’étais fait viré de chez micro$ comme un malpropre j’aurais immédiatement produit un bon virus pour me venger.