Rôle de Microsoft dans la sécurité

sur le sujet. Récemment encore, Microsoft mettait
plusieurs jours à  admettre des problèmes reproductibles, affirmant
souvent que les bogues étaient des « défauts de conception ».

Actuellement, Microsoft définit une vulnérabilité de sécurité comme
« un défaut dans un produit qui rend impossible – même en utilisant le
produit correctement – d’empêcher un assaillant d’usurper des privilèges
sur le système de l’utilisateur, de réguler son exploitation, de compromettre les données qui s’y trouvent, ou d’assumer une confiance
injustifiée. » Microsoft applique la définition à  tous les bogues signalés
ou détectés au MSRC (Microsoft Security Response Center).

L’adresse e-mail secure@microsoft.com est l’un des moyens par
lesquels Microsoft est informé des vulnérabilités de sécurité. Microsoft
considère que 1 % seulement de tous les messages envoyés à  l’adresse
secure sont suffisamment graves pour justifier une correction immédiate.
Le MSRC applique un processus formel à  chaque problème de sécurité
signalé par les utilisateurs. Le MSRC tente de reproduire le problème
et l’équipe de développement essaie de comprendre le problème et le
code concerné. L’équipe détermine le meilleur moyen de résoudre le
problème : contournement, pack de services ou correctif. Dans ce dernier
cas, l’équipe teste le correctif et elle le conditionne pour son déploiement.
Comme l’équipe a peu de temps pour tester les corrections, Microsoft
doit parfois envoyer deux correctifs successifs. Pour plus d’informations
sur le processus MSRC, aller à  http://www.microsoft.com/technet/treeview/
default.asp?url=/ technet/columns/security/essays/sectour.asp.