Microsoft veut convertir les éditeurs au développement sécurisé

Pour Microsoft, la méthode SDL offre plusieurs avantages: augmentation de la qualité de l'application, réduction du nombre de vulnérabilités existantes et détection et suppression des failles le plus rapidement possible dans le cycle de développement de l'application.

Windows Vista et le serveur SQL ont été les premiers bénéficiaires de l'utilisation du SDL.«Le nombre de vulnérabilités sur WindowsXP était de119 mais il a été développé sans SDL.Avec Vista, le nombre de failles a été divisé par deux. C'est encore plus marquant avec SQL2000. Avant SDL, il y a eu 34vulnérabilités dans les 36mois qui ont suivi la release. Avec cette méthode, le serveur2005 n'a connu que trois failles»,précise Eric Mittelette, responsable chez Microsoft de l'équipe relation technique avec les développeurs.

Pour les experts en sécurité, la production de cette documentation et de ces outils est une bonne chose mais elle ne va pas tout résoudre.«Il faut aussi que les développeurs lisent la documentation et utilisent les outils. Autres limites: les développements sont de plus en plus sous-traités, ou confiés à des jeunes sans expérience, et le management n'est pas du tout prêt à assumer le surcoût de la sécurité. Sans parler des sociétés qui vivent avec une base de code très ancienne à revoir, ou des PME qui n'ont aucune compétence sécurité»,signale Nicolas Ruff, expert en sécurité au centre de recherche de EADS. Mais selon Eric Mittelette, un correctif de sécurité et sa mise en ligne sont 70 à100fois plus chers que l'identification durant la phase de développement.

Concrètement, Microsoft va mettre à disposition des développeurs trois éléments qu'ils pourront télécharger. Premièrement, Microsoft SDL Threat Modeling Tool3.0. Il s'agira d'une version plus accessible que l'actuel outil gratuit (version2.1).«Elle présentera notamment des schémas plus faciles à comprendre pour vérifier, par exemple, si une solution d'authentification est sécurisée. Cet outil fera des préconisations en matière de testing»,explique Eric Mittelette.

Deuxième élément, Microsoft SDL Optimization Model. Ce guide inclura des retours d'expérience que Microsoft a pu étudier et une aide pour mettre en oeuvre SDL. Les développeurs et éditeurs pourront aussi s'auto-évaluer pour savoir où ils se situent par rapport à la sécurité.

Enfin, Microsoft SDL Pro Network: encore en phase de développement, ce réseau regroupera des experts en sécurité. Il sera en phase de test durant la première année avec un nombre limité de clients et neufpartenaires, principalement américains, parmi lesquels Security innovation, Security university, n.runs... Ces sociétés feront notamment des analyses de menaces et des tests de pénétration sur un site qui souhaite vérifier son niveau de protection. Microsoft France espère ensuite présenter des sociétés françaises.

A noter que Microsoft SDL Threat Modeling Tool3.0 et la documentation seront prochainement traduits en français.