La menace "zéro jour"

La campagne de publicité comparative de Microsoft [1] est omniprésente et il devient difficile de différencier les vraies études indépendantes des publi-reportages. Au milieu de tout ça le Forrester Research a publié un rapport indiquant que Windows peut non seulement être déployé de façon aussi sécurisée que Linux, mais corrige les problèmes plus rapidement.

Cela a provoqué un tollé dans le monde du libre. Et, grande première, Debian, Mandrake, Red Hat et SUSE se sont concertés pour publier un communiqué commun [2]. Lequel critique principalement le manque de classification des failles : ne pas différencier les failles permettant une prise de contrôle à distance de celles nécessitant une intrusion préalable ôte toute valeur aux conclusions de Forrester Research.

Dans le même temps un développeur de Debian a établi quelques statistiques [3] montrant une moyenne de 35 jours pour la correction des failles, dont 50% sont corrigées dans les 10 jours et 15% sont corrigées le même jour que l'annonce. Lui non plus ne classifie pas les failles. On reste donc en attente de chiffres significatifs.

Le temps de mise à disposition des correctifs est important. Le temps de déploiement de ces correctifs l'est aussi. Un article du Monde Informatique indique que le répit entre l'annonce d'une faille et l'apparition des attaques correspondantes se réduit de plus en plus. Le record du ver Gaobot est de 2 semaines. Que peut-on alors conclure de la décision de Microsoft de publier ses correctifs uniquement une fois par mois ?

Le Monde Informatique analyse d'ailleurs le correctif du 13 avril à la lumière d'un rapport de Forrester Research. Ce correctif corrige des failles datant de novembre 2003. Et pour certaines il aura "fallu parfois plus de 200 jours pour que Seattle réagisse".

[1] http://www.microsoft.com/windowsserver/compare/default.mspx
[2] http://www.debian.org/News/2004/20040406
[3] http://lists.debian.org/debian-security/2001/12/msg00257.html