Blue Hat : Microsoft décortiquée encore une fois

Monsieur le hacker, je vous tire mon chapeau bleu 27
La deuxième conférence Blue Hat vient de s’achever chez Microsoft, et on se frotte déjà les mains des résultats de ce rassemblement du côté de chez Redmond. C’est que cette réunion entre les têtes pensantes du groupe, les ingénieurs et les « hackers » a eu a priori des répercussions plus que positives pour les uns comme pour les autres.
 
Blue Hat est le nom d’un nouveau type de réunion chez Microsoft. La première édition, qui avait eu lieu au mois de mars de cette année, avait pour but de mettre les ingénieurs de Microsoft face à des experts en sécurité qui montraient tout leur talent en exposant un maximum de failles de sécurité. Et puisque faire un listing des failles aurait été peu productif, les « hackers » s’étaient entretenus avec les ingénieurs et les responsables du groupe afin de mettre au point une manière plus sûre de développer, en améliorant l’architecture SDL (Secure Development Lifecycle) qu’utilise la firme.
 
Les « gentils hackers », ou white hats, étaient au nombre de six. Parmi eux, on pouvait compter notamment l’expert Dan Kaminsky, Brett Moore du site Security-Assessment.com ou encore David Maynor, chercheur à ISS (Internet Security Systems). Du côté de chez Microsoft, quelques pointures étaient présentes comme le (presque) légendaire Jim Allchin, co-directeur de la Platforms, Products & Services Division avec Kevin Johnson, lui aussi présent. Stephen Toulouse, un responsable de la Security Technology Unit, représentait la branche sécuritaire de Microsoft.
 
Un millier de développeurs de la firme étaient de la fête, et la conférence n’aura pas été de tout repos. Les différents experts invités sont connus pour leurs compétences et pour avoir tiré un nombre impressionnant d’alarmes sur les produits Microsoft par le passé. David Maynor de chez ISS, a par exemple montré qu’il était relativement simple de se servir d’une clé USB pour charger un code directement en mémoire en se servant du DMA (Direct Memory Access). Selon lui toutefois, Microsoft n’est pas la seule en cause puisque l’architecture matérielle elle-même devrait être modifiée pour sécuriser réellement cette fonction.
 
Comme à la première conférence en mars, les développeurs de la firme ont été étonnés par les compétences de leurs invités. Ceux-ci ont joué un rôle clé grâce à des démonstrations de codes malicieux qui exposaient en retour les déficiences sécuritaires, voire de conception. L’ensemble de ces démonstrations n’avait pas uniquement pour but de mettre en place une série de correctifs, mais également « d’éduquer » les développeurs et de modifier en conséquence le cycle de développement des logiciels.
 
Les invités ont été traités comme des hôtes de marque, et Maynor a indiqué qu’il avait été saisi par les compétences de certains au sein de la firme, notamment Jim Allchin. Les deux hommes se sont entretenus sur des sujets tels que la sécurité au sein d’Internet Explorer 7, comment réduire le délai de fabrication et de distribution des correctifs ou encore la réalisation d’audits de sécurité pour Vista.
 
Tout le monde est content, et il sera dans l’intérêt commun que les retombées soient aussi profitables que les discussions lors de ces conférences.
Par Vincent Hermann Publiée le 18/10/2005 à 11:02 - Source : Multiples
Publicité