Mise à jour du 18/02/11
Décidément, Travis Ormandy semble passer beaucoup de temps à scruter tout ce qui touche à la sécurité de Microsoft.
L'ingénieur de Google avait suscité la colère des responsables de Microsoft en publiant une preuve de faisabilité (PoC) seulement 5 jours après avoir découvert une faille critique dans Windows (lire par ailleurs)
Après cette polémique et les critiques contre Ormandy, un groupe anonyme s'était constitué pour laver son honneur... en promettant de s'attaquer à toutes les technologies Microsoft pour en dévoiler les vulnérabilité.
Autre épisode, après la découverte d'une faille dans le noyau de Windows, Ormandy avait fait reparler de lui en critiquant à nouveau vertement Microsoft. Et ce alors que la faille était qualifiée de « mineure ».
Google a toujours affirmé que les « analyses » des systèmes de Microsoft par son ingénieur étaient faites sur son temps libre. Et que toutes ces polémiques n'avaient rien à voir avec l'arrivée de Chrome OS, que Google présente par ailleurs comme un système d'exploitation particulièrement sécurisé.
Quoiqu'il en soit, depuis hier, une nouvelle faille de Windows a été dévoilée et un nouveau PoC publié. La société française VUPEN Security, basée à Montpellier, l'avait même qualifiée de « faille critique ».
Aujourd'hui, Microsoft relativise la situation et affirme que l'exécution distante d'un code ou la prise de contrôle d'une machine n'est pas (ou très difficilement) possible via cette vulnérabilité.
Son Centre de Sécurité a décidé de lui donner la note de 3 pour sa dangerosité. Autrement dit, Microsoft ne prévoit pas d'exploit avant 30 jours. Cette faille ne serait donc pas « critique » et permettrait tout au plus un Déni de Service.
Face à cette annonce, Vupen a réagi violemment sur son Twitter : « Après avoir patché des failles en silence, Microsoft appelle ''Déni de Service'' les failles difficiles à exploiter ! Et après [ce sera quoi] ? ».
Travis Ormandy dans tout cela ?
L'ingénieur de Google de Moutain View a immédiatement soutenu la société Montpelliéraine.
Et une fois de plus, il ne mâche pas ses mots : « Ils font ça depuis toujours. Leur centre de sécurité fait des Relations Presse, ils n'améliorent pas la sécurité ».
Avec le peu de machines concernées et son analyse de la faille, Microsoft ne devrait, de son coté, pas sortir de correctif en urgence.
Sources : MSRD, Tweet de Vupen, et de Travis Ormandy
Une société française spécialisée dans la sécurité critique violemment Microsoft
Un ingénieur de Google la soutient
Une société française spécialisée dans la sécurité critique violemment Microsoft
Un ingénieur de Google la soutient
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !