Les failles zero day ne sont pas si graves selon Microsoft
Microsoft estime que les attaques utilisant des failles non corrigées sont très faibles par rapport à l'activité générale de sécurité.
« Nous ne disons pas de ne pas vous inquiétez sur les zero day, mais ces failles doivent être replacées dans leur contexte », a déclaré Jeff Jones, directeur de la sécurité au sein du Trustworthy Computing Group de Microsoft. « Les personnes qui s'occupent quotidiennement de la sécurité s'inquiètent davantage de menaces plus globales et plus importantes ».
Jeff Jones s'appuie sur des données provenant des équipes de sécurité de Microsoft. Il constate les vulnérabilités zero day ne sont pas les plus répandues, et donc ne constituent pas les menaces les plus dangereuses, qui pèsent sur les utilisateurs.
Selon le SIR (Security Intelligence Report), publié aujourd'hui par l'éditeur, les attaques via une faille zero day n'ont représenté que 0,12% de l'activité des attaques lors du 1er semestre 2011. « Cette vulnérabilité est particulièrement alarmante pour les consommateurs et les professionnels, car elle combine la peur de l'inconnu et une incapacité à corriger la faille », souligne le rapport mais d'ajouter « il n'est pas surprenant que ces failles reçoivent souvent une grande médiatisation. »
Microsoft a voulu remettre les pendules à l'heure, souligne Jeff Jones, en expliquant pourquoi il a concentré le SIR sur les bugs zero day ». « C'est la panique qui s'installe si on n'est pas informé », réplique le responsable et d'ajouter « Je ne parle pas du professionnel de la sécurité à qui je n'ai pas à dire comment faire son travail, mais plutôt de son patron ou à un cadre qui lit quelque chose sur ces failles et se demandent ce que nous faisons sur le sujet ».
Le conseil de Microsoft : Ne paniquez pas !
« Je pense qu'il y a du vrai dans ce que dit Microsoft » explique Andrew Storms, directeur des opérations de sécurité chez nCircle Security et de compléter « je pense que pour des milliards de personnes sur Internet, les failles zero day ne sont pas un risque ».
Pour Andrew Storm et Microsoft, les menaces les plus dangereuses sont celles qui amènent l'utilisateur à faire quelque chose de dangereux, comme le téléchargement d'un fichier malveillants. On appelle cela des attaques d'ingénierie sociale. Selon la firme de Redmond, cette menace intégrant une interaction utilisateur représente 45% des malwares trouvés par l'outil de suppression des logiciels malveillants de Microsoft. Ces menaces sont beaucoup plus importantes que les failles zero day. Andrew Storm émet néanmoins une critique sur la hiérarchisation du niveau des vulnérabilités peu claire. Pour répondre aux interrogations des utilisateurs, Jeff Jones les exhorte à télécharger régulièrement les mises à jour de sécurité des différents logiciels, « il faut revenir aux fondamentaux » conclut-il.
