Google a rendu publique une faille majeure de Windows

Avant que Microsoft ait publié un correctif de sécurité

Ce lundi 31 octobre, l’équipe de chercheurs en sécurité informatique de Google a rendu publique une vulnérabilité jugée critique dans Windows. Dans un billet de blog, l’équipe a mis en détail les spécificités de ce bogue permettant aux pirates d’échapper aux sandboxes de sécurité grâce à une faille dans le système win32k. Selon les chercheurs, cette faille serait déjà “activement exploitée”.


Cette révélation vient dix jours après que la firme a prévenu Microsoft de l’existence de la vulnérabilité. N’ayant reçu aucune réponse de la part de la firme de Redmond, aucun patch de sécurité pour régler le problème ni même un avertissement aux utilisateurs, Google a décidé d’agir en public et dévoiler l’existence de cette faille. Seul bémol, Google a déjà déployé un correctif pour les utilisateurs de Chrome, tandis que Windows reste vulnérable.

Dans le billet de blog, Google a fourni une description générale du bogue de sécurité, permettant aux utilisateurs d’avoir assez d’informations pour se rendre compte de la gravité des possibles attaques, toutefois les cybercriminels n’auront pas assez de détails pour exploiter la faille. Cette vulnérabilité dépend également d’une autre faille dans Adobe Flash, néanmoins ce dernier a été mis à jour le 26 octobre pour adresser ce problème.

Réaction de Microsoft

L’initiative de Google a naturellement déplu à Microsoft, la firme n’a pas manqué de critiquer l’attitude de Google et a fait savoir que cette divulgation met en danger la sécurité des consommateurs. Ce n’est pas la première fois que les deux géants sont entrés en conflit à cause de la façon avec laquelle le géant de la recherche divulgue les vulnérabilités repérées. En 2013, Google avait informé que si les failles critiques ne sont pas réparées sept jours après leur signalement, de façon privée par la firme, alors l’entreprise se permettra de les rendre publiques. Un délai très court selon les propres termes de Google à l’époque : « Sept jours est un délai très serré, et cela peut être trop court pour que certaines entreprises mettent à jour leurs produits, mais cela devrait suffire pour qu’elles publient des conseils pour limiter les risques. »

Les chercheurs de Google conseillent les utilisateurs de Chrome et de Flash de s’assurer qu’ils sont parfaitement à jour ou de les mettre à jour manuellement le cas échéant. Pour les autres, ils n’ont pas défini des consignes à suivre à part d’attendre la disponibilité d’un correctif de Windows. Microsoft a pour sa part donné pour conseil d’utiliser Windows 10 et son navigateur Edge pour une meilleure protection. En effet, la firme a confirmé que les utilisateurs ayant installé Windows 10 Anniversary Update ne sont pas affectés par cette vulnérabilité. Un correctif sera publié le 8 novembre.

Source : Google - Microsoft

Et vous ?

Qu'en pensez-vous ?