Par Marc Olanie (Reseaux-Telecoms) - ISS vient de mettre à jour sa plateforme « Dynamic Threat Protection » avec deux programmes particulier, une détection d’intrusion et un mécanisme d’inventaire de failles.

La conjonction de des deux outils donne naissance à une fonction baptisée le « patch virtuel », en fait une réaction face à une empreinte d’attaque visant à présenter les caractéristiques et réponses d’un système « corrigé »… bref, une adaptation à la sauce Atlanta des « application level firewall ».
Bien sur, cette capacité à réagir face à une empreinte d’attaque connue n’est en aucun cas un motif d’exemption de correctif. Mais, compte tenu des récentes instabilités provoquées par les dernières rustines Microsoft, l’on peut considérer ce genre d’approche comme un atout important offert aux DSI souhaitant effectuer, dans le calme et la quiétude, les tests de non-régression nécessaires avant déploiement.

Comme nous adorons tirer à bout portant sur les véhicules de premier secours, cette information est à rapprocher d’une dépêche de Yahoo News racontant la triste histoire d’un (encore !) correctif Windows XP provoquant plus de mal que de bien. Quoique … Afin de corriger un "obscur composant de sécurité", relate Yahoo, près de 600 000 usagers auraient vu leurs ordinateurs privés de connexion réseau. D’un point de vue strictement technique, le « patch » est donc sans faille et totalement conforme aux recommandations "Orange Book" du DoD : un ordinateur fiable et sécurisé n’est relié à aucun réseau, qu’il soit interne ou externe. Les machines formant les « CA » (Certification Authorities) générateurs de clefs PKI primaires en sont une preuve tangible. Si l’on pousse le syllogisme dans ses derniers retranchements, une machine accédant à Windows Update afin d’en télécharger les rustines devient, par définition une machine moins fiable que non corrigée mais non « raccordée ». Cette lapalissade paradoxale constitue le fondement même de la profession de RSSI.