Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft s'insurge contre Google
Après la publication des informations sur une faille dans Windows 8.1

Le , par Hinault Romaric

42PARTAGES

6  0 
Décidément, Microsoft et Google n’ont pas la même vision en ce qui concerne la divulgation des failles de sécurité dans des produits. Pour Google, après un certain délai, la faille doit être divulguée publiquement afin d’inciter la sortie des correctifs, alors que pour Microsoft l’opération doit être concertée et la faille doit être maintenue secrète jusqu’à publication d’un correctif.

Ainsi, un expert en sécurité de Microsoft a critiqué vertement Google pour avoir divulgué des détails sur une faille zero-day dans Windows pour lequel un correctif n’était pas encore disponible.

À titre de rappel des faits, Google dispose d’un programme « Google Project Zero », permettant à ses experts en sécurité de répertorier des failles de sécurité dans des applications. Lorsqu’une vulnérabilité est enregistrée, une notification est envoyée à l’éditeur de la solution touchée, et la faille est divulguée publiquement 90 jours après, qu’un correctif soit disponible ou non. C’est ce qui s’est passé avec Windows.

Chris Betz, directeur de Microsoft Security Response Center (MSRC) a fustigé l’attitude de Google, affirmant que la firme était au courant qu’un correctif était dans les bacs et qu’il fallait juste attendre quelques jours afin qu’il soit publié.

« Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », explique Chris Betz dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »

Alors que du côté de Google, il est question de mettre la pression sur l’éditeur pour publier une faille, pour Betz, l’action de la firme est plus une provocation, qui ne profite pas aux utilisateurs. Au contraire, en agissant ainsi, cela met la pression dans un environnement déjà complexe et augmente de façon significative le risque.

« Ce qui est bon pour Google ne l’est pas forcément pour les clients. Nous demandons instantanément à Google de faire de la protection des clients notre but collectif premier », exhorte Betz.

Le responsable de la sécurité de Microsoft invite la communauté à une divulgation cordonnée des vulnérabilités. Concrètement, il souhaite que celui qui trouve une faille signale celle-ci discrètement afin qu’un correctif soit publié avant la divulgation de la faille. Betz affirme que les failles corrigées ainsi ne font pratiquement pas l’objet d’une exploitation, même après leur divulgation. Par contre, en procédant comme Google l’a fait, les exploits des pirates sont plus fréquents.

Source : Blog Technet

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de myNameIsFlo
Membre habitué https://www.developpez.com
Le 13/01/2015 à 13:18
Microsoft a demandé d'attendre 2 jours. Ce que google n'a pas fait pour l'emmerder. Ils sont concurrents ou pas?

Concernant, les remarques que Microsoft a les moyens. . .
Ce n'est pas une question de moyens mais de complexité. 90 jours pour corrigés un OS tel que Windows sur une faille complexe, c'est peu

Dans ma 'petite' entreprise, les clients attendent souvent 10 jours pour une correction sur un logiciel pas forcément complexe et payé un 'peu' plus que 100€. Personne ne se plaint.

Je ne suis pas pour ou contre mais il faut remettre les choses dans leur contexte (bande de français râleur
6  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 16/01/2015 à 12:38
Citation Envoyé par Hinault Romaric Voir le message
...Pour Microsoft, il est préférable de travailler de façon concerter et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.
Attendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?

Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).

Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.
9  4 
Avatar de Zirak
Inactif https://www.developpez.com
Le 19/01/2015 à 11:00
Je ne sais même pas pourquoi vous vous acharnez à répondre à l'autre troll qui transpire la mauvaise foi par tous les pores de sa peau (et qui en plus, troll comme un élève de CP écrivant un sms) ??

Microsoft pourrait sacrifier des enfants en l'honneur de Bill Gates, qu'il leur lancerait encore des fleurs...

Il est tellement de mauvaise foi, que même quand Microsoft fait de la merde (comme toutes les boîtes, ça leur arrive), il arrive à nous dire que finalement c'était une bonne chose.

Oui aucune société n'est parfaite, que cela soit Microsoft, Apple, Google ou autres, maintenant, la news parle d'un problème chez Microsoft, pas des autres.

Si tu veux dire du mal des autres aussi GHetfield, pour que cela soit plus "équitable", va troll directement les news qui parlent des problèmes rencontrés chez les concurrents.
6  1 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 19/01/2015 à 15:22
Citation Envoyé par Lutarez Voir le message
1 mois pour la sortie du patch. Celui-ci existe déjà, c'est pas comme si MS avait regardé l'horloge tournée sans rien faire. Sur ce point, oui, Google est irresponsable, car il va mettre en danger tous les utilisateurs de Windows alors que le patch existe. Quelle genre de pression est-ce là ?

En fait, c'est Microsoft qui met en danger ses utilisateurs en ne corrigeant pas suffisamment rapidement les failles. Il est parfaitement possible que celle-ci soit déjà exploité. Les pirates ont la fâcheuse tendance à ne pas publier un communiqué quand ils développent un malware exploitant une faille.

C'est pour cette raison que je comprends parfaitement que Google impose un délai maximum avant de publier la faille quoi qu'il arrive. Microsoft a déjà un sacré passif de failles corrigées très tardivement.
5  0 
Avatar de expertsecu
Inactif https://www.developpez.com
Le 25/01/2015 à 1:47
Citation Envoyé par Haseo86 Voir le message
(parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça).
Ils feraient comment?
5  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 18/01/2015 à 20:26
Citation Envoyé par GHetfield Voir le message
...Maintenant t'es pas obliger de lire...
Malheureusement, on est bien obligés de lire les délires de certains si on veux suivre sérieusement un sujet. On en est déjà à deux page de pollution depuis que t'as lancé ton Troll.

D'où ma question "T'en n'as pas marre de raconter des âneries ?"
6  2 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 19/01/2015 à 7:14
Citation Envoyé par GHetfield Voir le message
...Ah non t'es pas client Apple. Bin ne soit pas client Microsoft alors et arrête de te plaindre.
Décidément, soit tu ne sais pas lire, soit tu comprends tout de travers.
  1. Il ne se plaint pas de Apple : Parce qu'il n'est pas client. Si il l'était il n'hésiterait pas à s'en plaindre
  2. Il se plait de µSoft : Parce qu'il est client. Si il ne l'était pas, il ne serait probablement pas venu sur ce fil. Mais ayant investit dans des produits de cet éditeur, il a naturellement son mot à dire.
  3. Il ne s'est pas plaint non plus quand Google a révélé des failles dans GNU/Linux, car ces failles ont été résolues rapidement par la communauté.

Et c'est exactement pareil pour moi ... car je ne suis client ni de Oracle, ni de Apple, et en plus, je ne suis pas client de Google. Mais, en tant que client de µSoft, j'attends de lui un service à la hauteur des tarifs qu'il pratique pour des particuliers comme moi. La correction prioritaire des failles me semble une attente légitime pour les clients.

Il n'y a pas de raison pour qu'il mette plus de temps à corriger ses failles que les autres. Et si je veux bien admettre que Windows est complexe et qu'une faille ne soit pas facile à corriger, et bien, c'est exactement la même chose sous Androïd, MacOSX ou Linux.
6  2 
Avatar de kolodz
Modérateur https://www.developpez.com
Le 19/01/2015 à 9:58
Citation Envoyé par GHetfield Voir le message
Il est ou le mensonge ? Ca Fonctionne sous Mac et Windows. Donc different OS. Ca fonctionne sous FireFox et CHrome. C'est pas la faute a Microsoft si Firefox et chrome on abandonné le support Silverlight. Si Microsoft pouvait obliger Google a faire certain choix ca se saurait. T'as vraiment cru ca ??? D'ailleurs nos sites fonctionne toujours au moins sur FireFox. Chrome on n'as jamais teste
Hors sujet :
Pour rappel, c'est Adobe qui est en charge du plug-in Flash pour Firefox. D'ailleurs, c'est sur leur site que je vais faire les mises à jours et non chez Mozilla.

Donc, jeter la faute sur le navigateur pour Silverlight me semble un peu facile, sachant que l’outil que Silverlight concurrence(ait ?) prends en charge cette intégration.

--- Fin du HS ---

Pour les failles de sécurités, quand Microsoft annonce "C'était dans le prochain patch", il y énormément de boite qui annonce ça quand une faille est révélé au publique.

D'ailleurs pour l'un de mes sujets de blog, je suis tombé sur ce blog :
http://www.ifc0nfig.com
Et en particulier : Moonpig vulnerability qui est une "discosure" responsable. La faille en question a un an et demi.
Le blog en question a publié plusieurs "discosure", à lire donc.

Sans approuvé à 100% le comportement de Google dans ces cas. Le fait est qu'il est encore souvent nécessaire de rendre une faille publique pour que celle-ci soit traité.

Cordialement,
Patrick Kolodziejczyk.
5  1 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 17/02/2015 à 10:37
Citation Envoyé par RogerBower Voir le message

Heureusement qu'il y avait d'autres gars qui pensaient comme moi quand même lol... Et c'est gars là ont même réussi à faire changer leur politique à Google, c'est pas jolie cette fin d'affaire ? Allez, sans rancune les gars
sérieusement tu t'imagines avoir une responsabilité dans ce changement de politique...?



Citation Envoyé par RogerBower Voir le message

Ils ont du en faire les frais chez Google, parce que en faisant ça, les pirates ont du investir des machines dont la faille n'était évidemment pas comblée, et par rebond, trouver tout un tas de mots de passe de compte Google lol, et par rebond encore, hacker tout un tas de compte Google, les fermer, vider les emails et j'en passe, et comme Google tient de statistiques de tout.... Et peuvent savoir comment les choses se passent, ils ont du voir par exemple une bonne recrudescence de comptes hackés : "Mais, comment cela se fait-il ? Ont-ils du se demander....".


sérieusement, je comprends que Google adapte sa politique histoire de faire semblant de contenter les râleurs, mais bordel si on regarde bien ils ont pas changé grand choses:
- si le 91e jour tombe un week end, ils attendront le lundi pour divulguer la faille. honnêtement je vois pas comment on peut (du coté des plaignants) se féliciter d'une telle "victoire". c'est juste ridicule...
- si l'éditeur du soft faillible dépose une demande de prolongation avant la fin du 90e en promettant un patch à venir rapidement, il pourra bénéficier de 14 jours de plus. là c'est déjà plus intéressant pour l'éditeur pas pressé, un peu "j'm'en foutiste" (ce qui revient peut être un peu au même), qui fait face à un vrai défi technique ou qui subit l'architecture bancale de son soft. bien que j'ai du mal à croire que ça va changer grand chose pour la plupart des corrections (qui ne doivent pas prendre 14 jours, ni même 90 ou 104) peut être que ça pourra être réellement utile dans certain cas. après je doute pas que certains éditeur risquent de demander ce délai systématiquement. mais faut pas oublier que "Comme d'habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières." (dixit Google), donc prudence...

j'espère que Google fournira des statistiques sur ceux qui demandent ces délais et pour quelles failles, histoire de voir quels éditeurs se foutent de nous.
4  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 18/01/2015 à 23:09
Citation Envoyé par GHetfield Voir le message
Quand Microsoft a-t-il garanti la compatibilité de Silverlight pour les prochaine version de chrome ou firefox ?? Si tu as cru ca t'as ete tres naif.
1. Vous souvenez-vous qu'ils voulaient concurrencer Adoble Flash ? qui lui tourne sous Windows, Mac et GNU/Linux sur tous les navigateurs ?
2. ils anoncent clairement sur leur site:


Il n'y a pas marqué "ce plugin ne fonctionne QUE sous Windows, avec le navigateur IE.XX, non ?

De plus, je rappelle juste qu'à l'époque de son lancement, ils se positionnaient clairement comme un concurrent de flash, ça aussi vous l'oubliez ?
L’éditeur de Redmond présente son alternative à la solution d’animation d’Adobe, très répandue. Baptisée Silverlight, elle met l’accent sur la vidéo, dans le but de détrôner Flash sur des plates-formes communautaires telles que YouTube ou MySpace.
Et à l'époque pour rester sur cette promesse commerciale, on pouvait lire:
L'éditeur américain va collaborer avec Novell afin d’adapter Silverlight, sa technologie web concurrente de Flash d’adobe, pour les systèmes Linux. Elle prendra alors l’appellation Moonlight.
Citation Envoyé par GHetfield Voir le message

Nous avons encore des sites sous Silverlight sans aucun problemes. Mais par exemple OpenErp ne fournis pas de support avec IE. Et ca c'est bien un probleme utilisateur et pas developpeur.
Donc je peux aller voir le site en question ? je pourrais l'afficher sans problème sur mon navigateur ?
Je ne connais pas openErp et ce n'est pas une technologie m'embetant ou embettant les utilisateurs grand public

Citation Envoyé par GHetfield Voir le message

Peut etre l'espionage et le tracking fais par Google et Apple qui sont ceux qui en font le plus ??
Je le rappelle: je n'utilise pas de produits Apple
Pour Google, je suis libre d'utiliser ou non leurs produits en connaissance de cause: si je ne suis pas content je ne les utiliserait pas
Pour rappel, c'est Microsoft qui s'est permis de lire, rechercher dans les mails "hotmail" d'un de ses employés, mais là, ça ne vous dérange pas

Citation Envoyé par GHetfield Voir le message

C'est partous pareil. Tu fais une fixation sur Microsoft c'est tous.
La news parle ici de Microsoft, ce n'est pas une fixation mais une réaction à la news, par contre vous et le libre, ça c'est une fixation
5  2