Bernard Ourghanlian, le Directeur Technique et Sécurité de Microsoft répond aux questions de SecuriteOff.com. Différents thèmes sont abordés parmi lesquels la fin du support de Windows XP, les conditions du support étendu, les backdoors, réelles ou supposés, placées dans les systèmes Windows.
Securiteoff.com : quel bilan tirez-vous du dernier « Microsoft Security Intelligence Report » ?
Bernard Ourghanlian : nous publions ce rapport deux fois par an. Il présente l’intérêt d’être riche pour deux raisons. Premièrement, ces résultats s’appuient sur l’analyse de plus d’un milliard de terminaux. Deuxièmement, sa couverture est mondiale. Parmi les sujets qui me paraissent les plus pertinents, il y a l’évolution des vulnérabilités. Nous constatons une diminution très sensible des failles dites « sévères » depuis 4 ans (-70 % dans les logiciels de Microsoft). Mais nous relevons aussi une augmentation très significative des postes de travail que nous avons dû désinfecter, via notre outil MSRT (Malicious Software Removal Tool). Cette évolution s’explique principalement par une forte augmentation des machines victimes d’ingénierie sociale et de tactiques trompeuses. Résultat, ces ordinateurs ont été infectés non pas en raison d’une problématique de vulnérabilités, mais parce que l’utilisateur a été incité à télécharger des logiciels malfaisants sous différents prétextes. La situation est inquiétante en France. Jusqu’à présent, le nombre de machines nettoyées tous les 1000 tournait autour de 2,2 / 2,5. Dans ce dernier rapport, nous sommes passés à 37,5 ! La France est devenue deux fois moins bonne que la moyenne mondiale.
Securiteoff.com : ce rapport pointe du doigt notamment Rotbrow et Brantall. Le premier est un logiciel trompeur se présentant comme un plugin « Browser Protector » et le second comme un programme d’installation d’autres programmes légitimes.
B.O : selon notre dernier rapport qui porte sur le dernier semestre 2013, Rotbrow (apparu au dernier trimestre 2013) a en effet été nettoyé 59 fois sur 1000 systèmes en moyenne. À l’échelle de la planète, sur 1 milliard de machines, c’est environ 6 % de PC qui ont dû être désinfectés. De son côté, Brantall a été nettoyé sur 36 systèmes sur 1000. C’est le problème n° 1 dans 105 pays. Les systèmes d’exploitation ont leur part de responsabilités ; il faut toujours les améliorer. Mais pas dans tous les cas. De plus en plus de logiciels sont téléchargeables depuis des stores. Cette problématique de logiciels malveillants se généralisant, les utilisateurs doivent être très vigilants.
Securiteoff.com : est-ce que le MSRT (Malicious Software Removal Tool) sera encore distribué ?
B.O : Oui, il sera toujours disponible sauf bien sûr pour Windows XP. C’est un outil extrêmement utile pour désinfecter l’ensemble du parc informatique.
Securiteoff.com : selon différentes agences de presse, le coût de l’extension du support technique de Windows XP devrait s’élever à 100 millions d’euros par banque. Vous confirmez ?
B.O : Non, c’est délirant. Même si nous ne communiquons pas sur le prix, il est largement inférieur. Je précise que ce tarif dépend du nombre d’ordinateurs et qu’à partir de 25 000 machines, le client ne paie pas plus cher. La durée du support étendu est renouvelable avec des périodes fixes. Le contrat commence à la date de l’arrêt du support de Windows XP, soit le 8 avril, et il dure un an.
Securiteoff.com : des établissements bancaires ont commencé à migrer leurs DAB vers Windows 7 ou planifient de le faire dans les prochains mois.
B.O : C’est exact, mais il faut rappeler qu’un DAB est fourni en tant que système complet par 4 ou 5 fournisseurs dans le monde. Le client, en l’occurrence la banque, n’a absolument pas le droit de toucher à quoi que ce soit sous peine de voir son matériel ne plus être supporté par le fournisseur.
Securiteoff.com : sur France Inter, vous avez déclaré : « on n’arrive plus à protéger XP. ». Dans ces conditions, pourquoi proposer un support étendu ?
B.O : Au moment du développement et de la sortie de Windows XP, nous avons inclus un certain nombre de mécanismes qui étaient très efficaces. Mais, ensuite les hackers ont réussi à les comprendre et à définir des solutions pour les contourner. Résultat : il y a sur le web des kits permettant de les contourner. Aujourd’hui, les mécanismes de base de Windows XP ne sont plus en phase avec les évolutions des attaques. Avec l’arrêt du support de Windows XP, le 8 avril dernier, une faille trouvée n’est plus corrigée. Et elle ne le sera jamais. En clair, le trou restera éternellement dans ce système d’exploitation.
La seule façon de la corriger est d’installer un correctif et donc de bénéficier de notre support étendu. Petite précision : quand nous publions un correctif, nous corrigeons la faille en question. Mais nous ne corrigeons pas le fait que des mécanismes du système d’exploitation soient d’un autre âge et qu’ils ne permettent plus, non pas de détecter des failles, mais d’éviter leurs conséquences.
L’intérêt des nouveaux mécanismes, introduits depuis Vista, est en effet double. Premièrement, ils bloquent la possibilité d’exploiter des failles et, deuxièmement, ils empêchent qu’on puisse les transformer facilement en failles utilisables dans un ver. Par exemple, un des mécanismes introduits dans Vista est l’organisation de la mémoire de manière aléatoire. En général, quand on est un attaquant, on envoie son code à une adresse mémoire fixe. À partir du moment où la répartition de la mémoire est aléatoire, l’attaquant aura beaucoup plus de difficultés. Tous ces mécanismes, plusieurs dizaines introduits au fur et à mesure, sont là pour rendre les attaques plus difficiles et rendre leur exploitation de manière automatique de plus en plus compliquée. Si nous avions dû les introduire dans Windows XP, nous aurions du changer complément le mode de fonctionnement du noyau et donc casser la compatibilité applicative, ce qui est aujourd’hui le principal frein pour migrer de XP à une version supérieure.
Securiteoff.com : plusieurs documents révélés récemment par le Glenn Greenwald montreraient les relations étroites entre Microsoft et les agences de sécurité américaines.
B.O : Ce n’est pas nouveau. L’objectif de ces « révélations » est de faire de la publicité pour un livre (« Nulle part où se cacher », JC Lattès, 360 p., 20 euros. NDLR)… De notre côté, nous avons toujours dit que nous n’étions jamais partie prenante d’un quelconque programme, par exemple PRISM. Je rappelle qu’il y a un certain nombre de dispositifs qui permettent aux États, dont la France, d’avoir accès à un certain nombre d’informations sur un citoyen suspecté de terrorisme par exemple. Nous sommes tenus de fournir ces informations en France. Ces « révélations » sont en réalité la réponse à des demandes définies par la loi dans les pays où Microsoft opère. Ensuite, il y a des dispositifs qui facilitent l’accès à ces informations. C’est comme pour les opérateurs téléphoniques.
Securiteoff.com : SuperFetch est un algorithme qui permet de charger automatiquement en mémoire les programmes et ressources utilisées le plus couramment par un utilisateur. Pourquoi la collecte des données n’est-elle pas plus transparente ? Il est certes possible de le désactiver, mais cela entraine une baisse drastique des performances.
B.O : L’objectif de SuperFetch est d’améliorer, à travers un dispositif d’apprentissage, les performances de la machine. Si vous le mettez hors service, il est logique que l’ordinateur soit moins performant. Concernant les informations récupérées par Microsoft, nous publions des documents qui décrivent de manière très précise quels types de données sont envoyées. Tout le monde peut vérifier ce qui sort de Windows et peut, le cas échéant, configurer le pare-feu pour que ces données ne sortent pas.
Securiteoff.com : fin janvier 2014, Matt Thomlinson, vice-président de Microsoft Security annonçait l’ouverture du code source de Windows à 20 États et 20 entreprises. Où en est ce projet ?
B.O : À travers un programme qui existe depuis six ou sept ans, de nombreux clients et États ont accès au code source d’un certain nombre de nos logiciels. Les États, à part quelques-uns (comme l’Iran, la Corée du Nord…), et les grandes entreprises sont éligibles et peuvent avoir accès au code source de Windows. Le but est de rendre le plus transparent possible le mode de fonctionnement de Windows et, justement, de répondre aux fameuses questions concernant les backdoors et autres plaisanteries que nous entendons depuis très longtemps.
La nouveauté est l’ouverture récente d’un Centre de Transparence international à Bruxelles. D’autres seront ouverts dans différents pays. L’objectif est de permettre aux clients et aux États qui le souhaitent de venir sur place (auparavant, il fallait se rendre aux États-Unis, NDLR) pour consulter le code source avec leurs propres outils et rechercher des éléments, voire même – mais ce n’est pas encore le cas – reconstruire complètement les binaires de Windows pour comparer ce qui tourne chez eux et voir qu’il n’y a pas de backdoors. L’idée est de casser cette perception, basée sur rien du tout, qui subsiste depuis des années : sur les ordres de la NSA ou d’autres agences, Microsoft aurait placé des backdoors dans son code source. Ce n’est absolument pas le cas. Et pour être très franc, c’est impossible qu’une entreprise comme Microsoft fasse cela. Le jour où nous serions pris « la main dans le sac », nous pourrons fermer boutique.