La sécurité par l'obscurantisme consiste à masquer les failles sans les réparer. Microsoft excelle en la matière et donne souvent le fouet pour se faire battre. On se souvient des virus Iloveyou et Melissa qui avaient coûté des centaines de millions aux entreprises. Point commun de ces deux vers ? Il exploitaient un vieux proof of concept qui traînait depuis plusieurs mois dans la bug list de Microsoft. Une erreur d'appréciation de Microsoft que les entreprises ont payé comptant.

Microsoft n'a semble t-il pas retenu la leçon et s'adonne toujours à l'lllusionisme. On apprend ce matin des correctifs pour deux vulnérabilités datant de 2000 et de 2006 (une importante, l'autre critique) !

La première faille concerne SMB et l'élaboration de son correctif aura pris plus de 7 années pour ne pas créer des problèmes de compatibilité entre applications Microsoft : "un client Outlook 2000 n'aurait pas été en mesure de communiquer avec un serveur Exchange 2000".

Comprenez en clair que Microsoft n'a pas corrigé un trou important présenté au Defcon2000 (donc bien connu de la communauté de hackers)... celà fait donc presque 8 années que cette vulnérabilité est exploitée ! un record.

Quand on connaît les dégâts en entreprises de ce genre d'attitude on ne peut que fustiger violemment Microsoft et se demander pourquoi des entreprises lui font encore confiance pour leurs infrastructures sensibles.

Une faille de sécurité en soi ce n'est pas grave, mais un minimum de proactivité est nécessaire pour veiller au grain et surtout un maximum de réactivité pour éviter d'exposer ses clients de la sorte sur des périodes aussi longues.