Si vous avez envie de voir Microsoft se dépêcher de corriger un bug dans ses logiciels, alors n'allez pas voir du côté des failles qui affectent les innombrables utilisateurs d'Internet Explorer, ni de celles qui offrent aux malfaiteurs le contrôle de milliers de machines Windows. Il vous suffit de casser son logiciel de protection des droits.
Au début, les correctifs (patchs) de sécurité étaient rares. Les éditeurs de logiciels préféraient prétendre que les vulnérabilités dans leurs produits étaient illusoires - puis ils corrigeaient discrètement le problème dans la version suivante.
Cela a changé avec le mouvement "full disclosure" (NdT: totale transparence). Des chercheurs indépendants en sécurité ont commencé à publier les failles qu'ils découvraient; les éditeurs ne pouvaient plus les ignorer. Ensuite les virus sont devenus de plus en plus courants; patcher (et patcher rapidement) est devenu la règle.
Mais même aujourd'hui, aucun éditeur n'aime sortir des patchs correctifs. Chaque correctif est l'aveu public d'une erreur. De plus cette activité distrait les ingénieurs du dévelopement des nouveaux produits. Mettre à jour leurs logiciels ennuie les utilisateurs, et les emm... d'autant plus que la mise à jour ne se déroule pas toujours correctement.
L'éditeur doit peser le pour et le contre et déterminer ce qui va le plus ennuyer les utilisateurs: vivre avec la faille ou bien appliquer le correctif? Est-ce que le gain apporté par le correctif vaut le coût de l'appliquer?
Depuis 2003, la réponse de Microsoft à cette question a été de livrer les correctifs par lots: plutôt que un par un, Microsoft les sort tous ensemble le 2e mardi du mois. Cela diminue leurs coûts de dévelopement et améliore la fiabilité des correctifs.
L'inconvénient de cette stratégie pour les utilisateurs est qu'ils restent vulnérables à des failles connues pendant une durée qui peut aller jusqu'à un mois. D'un autre côté, les utilisateurs bénéficient d'un planning régulier: Microsoft peut tester tous les correctifs qui sortent en même temps, ce qui signifie qu'ils sont plus fiables et que les utilisateurs peuvent les installer plus rapidement et avec plus de confiance.
En l'absence d'une forme de réglementation, d'une responsabilité de bon fonctionnement, ou de tout autre mécanisme qui rendrait coûteux pour l'éditeur le fait de laisser son logiciel vulnérable, les utilisateurs n'auront probablement jamais mieux que ce "Patch Tuesday" (NdT.: "mardi des correctifs").
Pourquoi ? Parce que cela est plus rentable à court terme pour Microsoft. Cette entreprise n'est pas une oeuvre charitable. Lorsque l'internet souffre ou que la sécurité des ordinateurs est compromise en masse, l'impact économique reste minimal pour Microsoft.
L'objectif de Microsoft est d'être rentable, et assurer la sécurité des utilisateurs en corrigeant ses produits n'est pas essentiel pour cela.
Il n'y a pas de meilleure illustration de ce principe économique que la réaction de Microsoft à la faille dans son logiciel de gestion des droits "PlaysForSure".
La semaine dernière, un bidouilleur a créé un programme appelé FairUse4WM qui permet de retirer l'éventuelle protection anti-copie des fichiers Windows Media version 10 et 11.
Notons que ceci n'est pas une "faille" dans le sens habituel du mot: la gestion des droits n'est pas un service que les utilisateurs réclament. Pouvoir se débarasser de la protection anti-copie est plutôt vu comme une bonne chose pour certains utilisateurs, et tous les autres s'en moquent. Personne ne viendra jamais se plaindre: "Oh non! Maintenant je peux écouter aussi dans ma voiture la musique que j'ai acheté pour mon ordinateur. Il faut que j'installe un correctif pour ne plus pouvoir faire ça".
Mais pour Microsoft, cette faille est majeure. Elle affecte ses relations avec les grands éditeurs de musique. Elle affecte l'offre de produits de l'entreprise. Au final, elle affecte ses finances. Corriger cette "faille" est dans son plus grand intérêt, peu importe le client final.
Donc Microsoft n'a pas perdu un instant. Un patch est sorti 3 jours après avoir eu connaissance de la faille. Les détenteurs de droits d'auteurs qui dépendent des logiciels de Microsoft n'ont pas à attendre un mois entier, eux.
Ceci démontre clairement que les raisons économiques sont un moteur beaucoup plus puissant que la sécurité.
Cela ne surprendra personne d'apprendre que le système n'est pas resté corrigé très longtemps. La version 1.2 de FairUse4WM contourne le correctif de Microsoft, ainsi que la protection anti-copie des version 9 et 11beta2 de Windows Media.
Ceci s'est passé samedi. Devinez combien de temps il faudra à Microsoft pour corriger Media Player une fois de plus? Et combien de temps il faudra ensuite aux gens de FairUse4WM pour mettre à jour leur logiciel?
Certainement beaucoup plus de temps que ce qu'il faudra à Microsoft et à l'industrie du disque pour comprendre qu'ils livrent une bataille perdue d'avance, et qu'essayer de rendre incopiable des fichiers informatiques revient à essayer d'assécher la mer.
Si Microsoft abandonnait ce travail de Sisyphe et redirigeait tous ces vains efforts vers la mise au point d'un système de distribution de correctifs rapide et fiable, tout l'internet en profiterait. Mais une analyse économique de base montre que ça ne sera sans doute jamais le cas.