Tarvis Ormandy est un ingénieur talentueux travaillant pour le compte de Google. C'est aussi un expert en sécurité dont les travaux avaient conduit à la découverte d'une vulnérabilité vieille d'au moins 17 ans affectant tous les noyaux 32 bits de Windows. Ladite vulnérabilité conférait aux hackers des niveaux de privilèges élevés une fois exploitée.
Décidément notre ingénieur à une attention toute particulière pour la plateforme Microsoft. Récemment encore, le même homme a rendu publique une autre vulnérabilité critique affectant le noyau pour les systèmes Windows 7 et 8.
La firme de recherche en sécurité Secunia a d'ailleurs confirmé les résultats de l'expert. Pour la firme, la vulnérabilité est présente sur les systèmes Windows 7 à jour, ainsi que sur Windows 8. D'après elle, la vulnérabilité peut être exploitée pour effectuer des attaques DoS, ou encore accroître le niveau de privilège d'un hacker.
Comme par le passé, Ormandy a une choisie de publie un code pour exploiter cette nouvelle vulnérabilité (code déjà disponible pour Metasploit). Pourtant, la découverte des failles par des experts en sécurité est souvent maintenue secret jusqu’à correction de celles-ci.
Son attitude de rendre publique une vulnérabilité ainsi que le code associé pour l'exploiter sans au préalable informé l'entreprise concernée par un canal privé, afin de lui donner le temps nécessaire pour préparer un patch a été vertement critiquée par Microsoft et d'autres experts en sécurité indépendants.
Ormandy justifie ce geste par le fait qu’il serait assez difficile de collaborer avec Microsoft sur la sécurité de ses solutions.
Un avis que ne partage pas Graham Cluley, expert en sécurité chez Sophos, qui a déclaré TheVerge que « l'équipe de sécurité de Microsoft fait un excellent travail » et recommande aux les chercheurs en sécurité de « travailler étroitement avec Microsoft afin de corriger les problèmes de manière responsable, plutôt que de prendre le risque de favoriser les pirates ».
Source: Secunia, Blog Ormandy, seclists
Et vous ?
Etes-vous pour la divulgation publique des failles avec PoC avant que l'éditeur de la solution ne soit informé ?
Sachant que Google et Microsoft sont deux firmes concurrentes, comment pourrait-on qualifier l'attitude d'Ormandy ? normale ou préméditée ?
Pour vous, doit-on normaliser le processus conduisant à la publication d'un patch de sécurité afin que de telles situations ne se reproduisent à l'avenir ?
Pour ou contre la publication des failles avant la sortie d'un correctif ?
Un ingénieur de Google divulgue les détails sur un Zero-day dans Windows
Pour ou contre la publication des failles avant la sortie d'un correctif ?
Un ingénieur de Google divulgue les détails sur un Zero-day dans Windows
Le , par Cedric Chevalier
Une erreur dans cette actualité ? Signalez-nous-la !