I-09 (25/11/2001) : Comment rentabiliser le cyber-délit


Saviez-vous que Microsoft lutte vaillamment contre les virus, les bugs et autres failles de ses produits logiciels ? Si si, et ils y mettent une énergie assez étonnante, d’ailleurs. Alors où est l’éternel “mais”, caractéristique du géant de Redmond ? Eh bien il se situe au niveau de la cible : au lieu de traquer la petite bête, les responsables de la sécurité de la société poursuivent… les traqueurs eux-même ! Car voyez-vous, Microsoft rêve d’un monde parfait. Et ce monde parfait n’est pas un monde sans bugs, non bien sûr car il faut bien faire acheter des mises à jour, mais un monde sans “experts” qui découvrent les failles et en avertissent tout le monde, ceci forçant les développeurs à prendre le temps d’élaborer un correctif le plus rapidement possible et d’en informer le public.

“Les experts en sécurité constituent la “cinquième colonne” de l’informatique d’entreprise”, racontait Scott Culp, patron du Microsoft Security Response Center. “Si on a vu apparaître des Nimda, des Code rouge, des Lion, Sadmin et autres Ramen, c’est en grande partie par la faute des spécialistes patentés de la faille et du ver qui, en toute impunité, décrivent des documents constituant de véritables modes d’emploi pour les hackers du monde entier”. Je vous laisse savourer, le temps de passer au paragraphe suivant.

Profitons-en pour rapeller le contexte actuel : IIS, le logiciel serveur de Microsoft, a vu un grand nombre de ses failles béantes et inquiétantes mises en évidence ces derniers mois : attaques DoS, pillages de données (et même directement chez M. Bill), virus Code Red… Les exemples sont légion. Et de l’autre côté Apache, gratuit et basé sur Linux et l’Open Source, progresse.

Que demande donc le sieur Gates ? Tout simplement que les experts en sécurité, lors de la découverte d’une faille, ne parlent pas de la chose hors d’un cercle d’experts autoproclamés pendant au moins un mois. Et, comme par hasard, pour faire partie du cénacle et avoir accès aux informations, il faudra… payer ! Combien ? Oh, juste la bagatelle de 70 000 $. Une obole symbolique envers le Dieu du logiciel, mes fidèles.

On peut donc dire que Monsieur Microsoft a décidé d’instaurer une sécurité à deux vitesses, lui permettant au passage d’engranger de l’argent grâce (!) aux disfonctionnements de ses logiciels. Et ce pendant tout le mois où l’information ne serait pas accessible au public, c’est à dire plus qu’il n’en faudra aux pirates (je parle ici des vrais, donc des dangereux, ceux qui ont trouvent les failles) pour fourbir leurs armes et attaquer les systèmes privés de toute défense.

A quand la brevetabilité des bugs ?

Et bonjour chez vous !