Une société française spécialisée dans la sécurité critique violemment Microsoft
Un ingénieur de Google la soutient

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 18/02/11

Décidément, Travis Ormandy semble passer beaucoup de temps à scruter tout ce qui touche à la sécurité de Microsoft.

L'ingénieur de Google avait suscité la colère des responsables de Microsoft en publiant une preuve de faisabilité (PoC) seulement 5 jours après avoir découvert une faille critique dans Windows (lire par ailleurs)

Après cette polémique et les critiques contre Ormandy, un groupe anonyme s'était constitué pour laver son honneur... en promettant de s'attaquer à toutes les technologies Microsoft pour en dévoiler les vulnérabilité.

Autre épisode, après la découverte d'une faille dans le noyau de Windows, Ormandy avait fait reparler de lui en critiquant à nouveau vertement Microsoft. Et ce alors que la faille était qualifiée de « mineure ».

Google a toujours affirmé que les « analyses » des systèmes de Microsoft par son ingénieur étaient faites sur son temps libre. Et que toutes ces polémiques n'avaient rien à voir avec l'arrivée de Chrome OS, que Google présente par ailleurs comme un système d'exploitation particulièrement sécurisé.

Quoiqu'il en soit, depuis hier, une nouvelle faille de Windows a été dévoilée et un nouveau PoC publié. La société française VUPEN Security, basée à Montpellier, l'avait même qualifiée de « faille critique ».

Aujourd'hui, Microsoft relativise la situation et affirme que l'exécution distante d'un code ou la prise de contrôle d'une machine n'est pas (ou très difficilement) possible via cette vulnérabilité.

Son Centre de Sécurité a décidé de lui donner la note de 3 pour sa dangerosité. Autrement dit, Microsoft ne prévoit pas d'exploit avant 30 jours. Cette faille ne serait donc pas « critique » et permettrait tout au plus un Déni de Service.

Face à cette annonce, Vupen a réagi violemment sur son Twitter : « Après avoir patché des failles en silence, Microsoft appelle ''Déni de Service'' les failles difficiles à exploiter ! Et après [ce sera quoi] ? ».

Travis Ormandy dans tout cela ?

L'ingénieur de Google de Moutain View a immédiatement soutenu la société Montpelliéraine.

Et une fois de plus, il ne mâche pas ses mots : « Ils font ça depuis toujours. Leur centre de sécurité fait des Relations Presse, ils n'améliorent pas la sécurité ».

Avec le peu de machines concernées et son analyse de la faille, Microsoft ne devrait, de son coté, pas sortir de correctif en urgence.

Sources : MSRD, Tweet de Vupen, et de Travis Ormandy


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de sevyc64 sevyc64 - Modérateur https://www.developpez.com
le 18/02/2011 à 12:20
Citation Envoyé par Gordon Fowler Voir le message

Après cette polémique et les critiques contre Ormandy, un groupe anonyme s'était constitué pour laver son honneur... en promettant de s'attaquer à toutes les technologies Microsoft pour en dévoiler les vulnérabilité.
...
Google a toujours affirmé que les « analyses » des systèmes de Microsoft par son ingénieur étaient faites sur son temps libre. Et que toutes ces polémiques n'avaient rien à voir avec l'arrivée de Chrome OS, que Google présente par ailleurs comme un système d'exploitation particulièrement sécurisé.
MAis bien sur, et on va les croire en plus.

Pourquoi les employés de Microsoft, sur leur temps libre, bien sur, ne montent-ils pas eux aussi un collectif pour s'attaquer à toutes les technologies de Google ???
Avatar de Cravis Cravis - Membre habitué https://www.developpez.com
le 18/02/2011 à 12:35
Parce que les employés de Microsoft ne dispose pas de deux heures par jour offerte par leur employeur pour mener à bien leurs recherches personnelles
Avatar de wokerm wokerm - Inactif https://www.developpez.com
le 18/02/2011 à 13:50
je n'aime pas trop ce genre d'attaque juste pour dénigrer un produit
mais je dois l'avouer sur ce point la microsoft devrai changer de politique car la sécurité est un enjeux de taille
leur produits sans de qualité certes mais il néglige trop la sécurité il faut qu'il fournissent le code source de leur produit je pense qu'il l'ont fait mais il doivent aussi changer la licence copyright par exemple ne pas autoriser la redistribution du produit ou le commercialiser mais pouvoir comme même l'optimiser et corriger les faille et en fournir le code optimise a redmond
je pense qu'au fond google regrette seulement que l'os de microsoft ne soit pas sécuriser
dommage il font du bon travail mais il peuvent pas a eux seuls fournir des correctif il ont besoin de l'aides des autres firmes mais en contre partie il seront dans l'obligation de fournir le code source d'ailleurs c'est ce que je leur recommande
Avatar de gillai gillai - Membre averti https://www.developpez.com
le 18/02/2011 à 14:02
Citation Envoyé par wokerm Voir le message
je n'aime pas trop ce genre d'attaque juste pour dénigrer un produit
mais je dois l'avouer sur ce point la microsoft devrai changer de politique car la sécurité est un enjeux de taille
leur produits sans de qualité certes mais il néglige trop la sécurité il faut qu'il fournissent le code source de leur produit je pense qu'il l'ont fait mais il doivent aussi changer la licence copyright par exemple ne pas autoriser la redistribution du produit ou le commercialiser mais pouvoir comme même l'optimiser et corriger les faille et en fournir le code optimise a redmond
je pense qu'au fond google regrette seulement que l'os de microsoft ne soit pas sécuriser
dommage il font du bon travail mais il peuvent pas a eux seuls fournir des correctif il ont besoin de l'aides des autres firmes mais en contre partie il seront dans l'obligation de fournir le code source d'ailleurs c'est ce que je leur recommande
Tu devrais en parler à Stebe Baldmer. Tu veux son numéro ?
Avatar de wokerm wokerm - Inactif https://www.developpez.com
le 18/02/2011 à 15:44
Citation Envoyé par hivenz Voir le message
Tu devrais en parler à Steve Ballmer. Tu veux son numéro ?
t inquiete pas pour moi j'ai des moyen bien plus sophistiqué que ça la meilleur messagerie au monde hotmail j'ai sa boite mail
Avatar de gillai gillai - Membre averti https://www.developpez.com
le 18/02/2011 à 16:00
Citation Envoyé par wokerm Voir le message
t inquiete pas pour moi j'ai des moyen bien plus sophistiqué que ça la meilleur messagerie au monde hotmail j'ai sa boite mail
Jerry golay avec l'association de hotmail à meilleure messagerie.
Avatar de psychadelic psychadelic - Membre émérite https://www.developpez.com
le 19/02/2011 à 2:07
Citation Envoyé par Gordon Fowler Voir le message

L'ingénieur de Google avait suscité la colère des responsables de Microsoft en publiant une preuve de faisabilité (PoC) seulement 5 jours après avoir découvert une faille critique dans Windows
C'est pas 5 jours mais 65 jours, relis ton propre post :
Citation Envoyé par Gordon Fowler Voir le message

Tavis Ormandy, l'employé de Google qui a mis à jour une faille dans le Centre d'Aide et de Support de Windows XP et qui a publié un exploit montrant comment il était possible d'en tirer profit, se défend d'avoir eu un comportement irresponsable.

Il affirme dans un Tweet que, contrairement aux dires de Microsoft, il n'a pas laissé 5 jours mais deux mois à l'éditeur de Windows (60 jours) pour colmater la faille.
On sait tous aujourd'hui que Microsoft à tout fait pour discréditer Tavis Ormandy.

Je serai dans son cas, je crois que je garderai une certaine rancune contre Microsoft
Avatar de wokerm wokerm - Inactif https://www.developpez.com
le 19/02/2011 à 11:03
Citation Envoyé par sevyc64 Voir le message
MAis bien sur, et on va les croire en plus.

Pourquoi les employés de Microsoft, sur leur temps libre, bien sur, ne montent-ils pas eux aussi un collectif pour s'attaquer à toutes les technologies de Google ???
il ont d'autres chat a fouetter que de s'occuper des problèmes d'autrui , il innove il ont pas le temps de surveiller les autres
Avatar de FaridM FaridM - Membre expérimenté https://www.developpez.com
le 21/02/2011 à 9:24
Citation Envoyé par wokerm Voir le message
il ont d'autres chat a fouetter que de s'occuper des problèmes d'autrui , il innove il ont pas le temps de surveiller les autres
Apparement ils n'ont pas le temps de s'occuper de la sécurité de leurs produits non plus.
Avatar de Cyrilange Cyrilange - Membre averti https://www.developpez.com
le 23/02/2011 à 6:27
Cette culture de l'anti Microsoft (qui est aussi un anti américanisme européen) est absolument pathétique. Tous les systèmes ont des failles et en auront toujours.
Pour ma part j'adore les technologies Microsoft et mes clients comme moi même n'avons jamais souffert de la moindre faille.
Ces agitateurs vont finir par se ridiculiser à force de crier au loup !
Contacter le responsable de la rubrique Accueil