Décidément, Microsoft et Google n’ont pas la même vision en ce qui concerne la divulgation des failles de sécurité dans des produits. Pour Google, après un certain délai, la faille doit être divulguée publiquement afin d’inciter la sortie des correctifs, alors que pour Microsoft l’opération doit être concertée et la faille doit être maintenue secrète jusqu’à publication d’un correctif.
Ainsi, un expert en sécurité de Microsoft a critiqué vertement Google pour avoir divulgué des détails sur une faille zero-day dans Windows pour lequel un correctif n’était pas encore disponible.
À titre de rappel des faits, Google dispose d’un programme « Google Project Zero », permettant à ses experts en sécurité de répertorier des failles de sécurité dans des applications. Lorsqu’une vulnérabilité est enregistrée, une notification est envoyée à l’éditeur de la solution touchée, et la faille est divulguée publiquement 90 jours après, qu’un correctif soit disponible ou non. C’est ce qui s’est passé avec Windows.
Chris Betz, directeur de Microsoft Security Response Center (MSRC) a fustigé l’attitude de Google, affirmant que la firme était au courant qu’un correctif était dans les bacs et qu’il fallait juste attendre quelques jours afin qu’il soit publié.
« Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », explique Chris Betz dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »
Alors que du côté de Google, il est question de mettre la pression sur l’éditeur pour publier une faille, pour Betz, l’action de la firme est plus une provocation, qui ne profite pas aux utilisateurs. Au contraire, en agissant ainsi, cela met la pression dans un environnement déjà complexe et augmente de façon significative le risque.
« Ce qui est bon pour Google ne l’est pas forcément pour les clients. Nous demandons instantanément à Google de faire de la protection des clients notre but collectif premier », exhorte Betz.
Le responsable de la sécurité de Microsoft invite la communauté à une divulgation cordonnée des vulnérabilités. Concrètement, il souhaite que celui qui trouve une faille signale celle-ci discrètement afin qu’un correctif soit publié avant la divulgation de la faille. Betz affirme que les failles corrigées ainsi ne font pratiquement pas l’objet d’une exploitation, même après leur divulgation. Par contre, en procédant comme Google l’a fait, les exploits des pirates sont plus fréquents.
Source : Blog Technet
Microsoft s'insurge contre Google
Après la publication des informations sur une faille dans Windows 8.1
Microsoft s'insurge contre Google
Après la publication des informations sur une faille dans Windows 8.1
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !