Patchs : Microsoft, RTOS ou Guadalcanal ?
Le très sérieux Security News, après avoir lancé un sondage d'opinion via le Web, titre « les clients Microsoft veulent encore plus de correctifs en dehors du mardi-rustine». C'est typiquement là une forme de journalisme de type guerre du Golf, qui consiste à demander aux victimes subissant un bombardement de hackers si la distribution d'abris logiciels est suffisante. C'est oublier que le mécanisme de publication de rustine chez les principaux grands éditeurs a tendance à adopter un modèle de fonctionnement « temps réel ». Or, dans l'esprit de beaucoup, Temps Réel signifie « dès que l'événement déclencheur vient de se produire » ou « dans la foulée ». On en est loin. Le RTPS (Real Time Patching System) de Microsoft est un véritable mécanisme déterministe. En d'autres termes, sa rapidité n'est en aucun cas un facteur important, mais on sait en permanence QUAND interviendra le démarrage du processus salvateur, en l'occurrence la publication de la rustine. Le propre d'un système temps réel n'est pas sa promptitude, mais la synchronisation des occurrences et la précision temporelle de chacune de ses tâches. Grâce à cette précision métronomique, il devient possible de planifier les batteries de test de non-régression, les jours de déploiement, la préparation des équipes de traitement etc. Et chez Microsoft, l'horloge est mensuelle. Ce qui fait que l'utilisateur se sent un peu comme John Wayne dans« Sands of Iwo Jima », lorsque les batteries japonaises bombardent les tranchées occupées par les GI's. L'attente est d'autant plus pénible que les obusiers de Stephen Toulouse viennent à peine de lâcher tir de barrage réduisant, notamment, une menace située sur la cote CreateTextRange. Avant l'heure, c'est pas l'heure... maintenant, faut attendre que les canons refroidissent. Et qu'importe si un bug venant du Viet Nam ou qu'un nid de mitrailleuse posé par Andrew Zalewski place le RSSI sous le feu probable d'un détachement de hacker. Tenez bon, les p'tits gars, Bill a l'oeil fixé sur vous ! En vous accrochant au bastion XP SP2, c'est un peu lui que vous protégez. L'arrière pense à vous ! Reste qu'effectivement, les batteries du Response Team ne se rechargent pas aussi rapidement qu'on pourrait le souhaiter. Les cycles de test de non-régression maison ont des raisons que la guerre des nerfs ne doit pas connaitre. Et même dans ces conditions, il arrive que la riposte de Microsoft ne soit pas parfaite et nécessite la réexpédition d'un nouveau correctif, pour rectifier une « faille dans le combleur de faille ». Tir d'ajustement, en quelque sorte. Une chose au moins est certaine, c'est que la parution « hors calendrier », compte tenu des temps de développement et de test, n'accélérera pas le moins du monde les processus de protection. Un trou de sécurité qui a mis près d'un an avant d'être nivelé (la faille wmf par exemple) ne sera pas comblé plus rapidement. Alors, lorsque l'on a subi, 300 jours durant, les tirs de snippers de tous les botnets du monde, et essuyé les shrapnels des chapelets de spyware-rootkits, on n'en est plus à 15 jours près. Au contraire, même. Car la disparition du rendez-vous mensuel aurait pour conséquence première de supprimer tout déterminisme dans le processus de traitement des vulnérabilités. Le « mardi salvateur » aura disparu, et les « pelos » de la canonnière du Yang Tse ( La Correctrice : c'est le beau Steve McQueen, pas John Wayne !) risqueraient de tomber un peu au hasard, sans crier gare, en créant la surprise autant chez les « méchants d'en face » que dans les rangs de nos brav' p'tits gars. Bref, le patch du mardi, on finirait par le regretter. Mais Mais lorsque l'on est sous le feu incessant d'un ennemi invisible, un correctif qui tombe, c'est du soulagement à l'état pur. Dans leur empressement à « normaliser » les processus de déploiement de rustines, les krosofties ont oublié un tout petit détail : la psychologie. Un pansement logiciel, ça ne fait pas seulement du bien à la DLL, çà calme aussi la douleur de l'ego et l'angoisse du virus. Et à trop regarder Itil ou Cobit, on oublie que ceux précisément qui utilisent Itil ou Cobit ne représentent qu'une frange infime de la population et de la clientèle. L'usager « grand public » se moque des considérations de déploiement programmé. Il souhaite seulement que l'on s'intéresse à lui. Et une rustine parachutée, même si elle ne corrige pas le « bug du moment », est déjà un message d'attention, la preuve que de l'autre coté, l'arrière tient bon. Allons même plus loin : en admettant que Windows, à l'instar d'Oracle, ne soit pas un outil grand public, cela n'interdirait pas de ménager le stress des petites structures, celle qui disposent d'un S.I. embryonnaire et d'aucun RSSI. Pour ces petites -et moyennes- entreprise, le déluge de 6 ou 7 correctifs d'un coup (voir plus chez Oracle) interdit tout étalement de déploiement. Les divisions informatiques de petite et moyenne envergure n'ont ni les moyens de lancer des tests de non-régression poussés sur plus de 3 correctifs -et encore !-, ni la possibilité de déterminer quelle rustine traiter en priorité, faute de politique de gestion des risques et de connaissance réelle de leur propre structure réseau. En récupérant les rustines au coup par coup, les PME et particuliers -la majorité du marché Windows- peuvent au moins espérer traiter les problèmes au fur et à mesure de leur apparition, étalés dans le temps. En tout état de cause, ce n'est pas au fournisseur qu'est Microsoft d'estimer lui-même les risques que courent ses propres clients. C'est pourtant ce genre de prérogative que s'arroge l'éditeur en retardant la publication d'un bouchon selon son bon vouloir. Situation d'autant plus ubuesque que les sociétés capable précisément d'analyser réellement la notion de risque et de priorité des patchs sont parfaitement capables de planifier leurs propres déploiements et mettre en réserve certains codes de colmatage si elles le désirent. Elles non plus, n'ont pas besoin que Microsoft pense à leur place. Security News fait de « l'info guerre du Golf »,du moins de temps en temps. Mais cette fois ci, il faut bien admettre que les craintes instinctives et irraisonnées des usagers sont parfaitement justifiées.
