> Tech > Rôle de Microsoft dans la sécurité

Rôle de Microsoft dans la sécurité

Tech - Par iTPro - Publié le 24 juin 2010
email

Microsoft est souvent pris à  partie dans la presse pour des bogues touchant à  la sécurité. C'est normal :Windows a une énorme base installée et les effets de ses vulnérabilités sont globaux. Aujourd'hui, Microsoft parle librement de nombreux bogues de sécurité, mais la firme n'a pas toujours été aussi ouverte

sur le sujet. Récemment encore, Microsoft mettait
plusieurs jours à  admettre des problèmes reproductibles, affirmant
souvent que les bogues étaient des « défauts de conception ».

Actuellement, Microsoft définit une vulnérabilité de sécurité comme
« un défaut dans un produit qui rend impossible – même en utilisant le
produit correctement – d’empêcher un assaillant d’usurper des privilèges
sur le système de l’utilisateur, de réguler son exploitation, de compromettre les données qui s’y trouvent, ou d’assumer une confiance
injustifiée. » Microsoft applique la définition à  tous les bogues signalés
ou détectés au MSRC (Microsoft Security Response Center).

L’adresse e-mail secure@microsoft.com est l’un des moyens par
lesquels Microsoft est informé des vulnérabilités de sécurité. Microsoft
considère que 1 % seulement de tous les messages envoyés à  l’adresse
secure sont suffisamment graves pour justifier une correction immédiate.
Le MSRC applique un processus formel à  chaque problème de sécurité
signalé par les utilisateurs. Le MSRC tente de reproduire le problème
et l’équipe de développement essaie de comprendre le problème et le
code concerné. L’équipe détermine le meilleur moyen de résoudre le
problème : contournement, pack de services ou correctif. Dans ce dernier
cas, l’équipe teste le correctif et elle le conditionne pour son déploiement.
Comme l’équipe a peu de temps pour tester les corrections, Microsoft
doit parfois envoyer deux correctifs successifs. Pour plus d’informations
sur le processus MSRC, aller à  http://www.microsoft.com/technet/treeview/
default.asp?url=/ technet/columns/security/essays/sectour.asp.

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 24 juin 2010