Office 2010 : 1800 bugs trouvés par des machines ne faisant rien

Office 2010, la prochaine version majeure de la suite bureautique de Microsoft, est attendue en version finale pour le mois de juin. Actuellement, le développement est très proche de la Release Candidate et on ne sait pas encore d’ailleurs, à ce sujet, si un téléchargement sera présenté au grand public. Microsoft indique toutefois qu’à travers une méthode peu conventionnelle, les développeurs ont pu repérer 1800 bugs à corriger.

word office 2010

Utiliser les machines des testeurs quand elles ne font rien

Cette méthode peu conventionnelle, certains en connaissent les fondements. Si l’on vous parle de SETI@Home (Search for Extraterrestrial Intelligence) ou de Folding@home, la méthode vous parlera sans doute. Ce sont deux logiciels qui ont des buts diamétralement opposés, l’un étant dévolu à la recherche de vie extraterrestre, tandis que l’autre sert à « plier » des molécules pour analyser leur structure dans l’espace (en 3D donc). Mais bien que très différents, ils partagent une même technique : utiliser la puissance vacante des PC.

Microsoft a appliqué la même recette. Lorsque l’on installe la bêta d’Office 2010, toujours disponible au téléchargement, différentes questions sont posées à l’utilisateur. L’une d’elles consiste à améliorer la qualité du produit en fournissant certaines informations non personnelles. C’est ici que l’on retrouve la méthode des deux logiciels cités : durant les phases où l’ordinateur ne fait strictement rien, la suite bureautique se met en mode test.

Ces tests sont rassemblés sous l’appellation fuzzing. Ils visent les « parseurs », autrement dit les analyseurs syntaxiques, des composants qui lisent des fichiers pour en extraire la moelle, c’est-à-dire les données. Prenons comme exemple les fichiers .DOC. Lorsqu’un document est ouvert, le parseur en inspecte la structure pour en tirer le texte proprement dit, ainsi que toutes les métadonnées ou encore les réglages propres au formatage. Or, des bugs peuvent être présents dans ces analyseurs, et certains d’entre eux peuvent être des failles de sécurité.

1800 bugs découverts dans le code d'Office 2010

Les tests automatiques d’Office 2010 vont donc alimenter en données quelconques les parseurs pour scruter leur comportement. En fonction des résultats, l’éditeur de Redmond pourra vérifier que tout est normal, ou mettre en lumière d’éventuels problèmes. Or, ce sont bien ces tests qui ont mené à la découverte de 1800 bugs, pas moins.

L’ensemble du réseau constitué des machines envoyant des résultats est considéré par Microsoft comme un botnet. L’expression est d’ordinaire réservée à ces groupes de machines zombies rassemblant parfois jusqu’à plusieurs dizaines de milliers d’ordinateurs. Mais le réseau porte aussi un nom beaucoup plus politiquement correct : Distributed Fuzzing Framework (DFF). Tom Gallagher, responsable des tests de sécurité chez Microsoft, explique comment les choses fonctionnent ensuite.

Les données qui sont obtenues arrivent chez Microsoft bien plus rapidement que si la firme avait dû utiliser ses propres machines pour y parvenir. Les bugs sont analysés et classés, et un ordre de priorité est donné. Tous ceux qui peuvent entrainer des soucis de sécurité passent en premier. Pour les autres, cela dépend ensuite des cas. Le responsable n’hésite pas à dire que certains ne seront pas corrigés pour la version finale. Le cas s’est présenté également où certains bugs pouvaient se retrouver dans les versions plus anciennes d’Office, notamment 2003 et 2007. Gallagher indique à ce sujet que les suites recevront des correctifs au travers de prochaines mises à jour, ou d’un Service Pack.

Charlie Miller, encore sur la brèche

Et pourtant, quand bien même le fuzzing a permis de trouver presque 2000 bugs, tout le monde ne s’accorde pas à dire que cette méthode représente la panacée. C’est le cas de Charlie Miller, qui a encore brillé cette année lors du concours Pwn2own. Selon lui, ce n’est clairement pas suffisant, car il lui suffit de créer un test « idiot » de ce type pour découvrir des failles dans plusieurs produits, dont PowerPoint et Mac OS X. Par « idiots », il entendant que son essai ne visant aucun format de données en particulier.

La démonstration de Miller était suivie par différents représentants d’éditeurs, dont Tom Gallagher lui-même. Cependant, les détails des failles trouvées n’ont pas été donnés. Au lieu de ça, Miller a simplement indiqué comment recréer sa méthode pour qu’elle soit utilisée ensuite par les sociétés. Gallagher a répondu à ce sujet que Microsoft allait bien se servir de la méthode et réfléchir sur la manière de l’implémenter.

Le problème de ce genre d’annonce est que les utilisateurs et la presse vont surveiller de près le comportement d’Office 2010, lorsqu’il sera disponible, pour vérifier le rythme de parution des mises à jour.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !