
Ainsi, un expert en sécurité de Microsoft a critiqué vertement Google pour avoir divulgué des détails sur une faille zero-day dans Windows pour lequel un correctif n’était pas encore disponible.
À titre de rappel des faits, Google dispose d’un programme « Google Project Zero », permettant à ses experts en sécurité de répertorier des failles de sécurité dans des applications. Lorsqu’une vulnérabilité est enregistrée, une notification est envoyée à l’éditeur de la solution touchée, et la faille est divulguée publiquement 90 jours après, qu’un correctif soit disponible ou non. C’est ce qui s’est passé avec Windows.
Chris Betz, directeur de Microsoft Security Response Center (MSRC) a fustigé l’attitude de Google, affirmant que la firme était au courant qu’un correctif était dans les bacs et qu’il fallait juste attendre quelques jours afin qu’il soit publié.
« Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », explique Chris Betz dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »
Alors que du côté de Google, il est question de mettre la pression sur l’éditeur pour publier une faille, pour Betz, l’action de la firme est plus une provocation, qui ne profite pas aux utilisateurs. Au contraire, en agissant ainsi, cela met la pression dans un environnement déjà complexe et augmente de façon significative le risque.
« Ce qui est bon pour Google ne l’est pas forcément pour les clients. Nous demandons instantanément à Google de faire de la protection des clients notre but collectif premier », exhorte Betz.
Le responsable de la sécurité de Microsoft invite la communauté à une divulgation cordonnée des vulnérabilités. Concrètement, il souhaite que celui qui trouve une faille signale celle-ci discrètement afin qu’un correctif soit publié avant la divulgation de la faille. Betz affirme que les failles corrigées ainsi ne font pratiquement pas l’objet d’une exploitation, même après leur divulgation. Par contre, en procédant comme Google l’a fait, les exploits des pirates sont plus fréquents.
Source : Blog Technet