Microsoft s'insurge contre Google
Après la publication des informations sur une faille dans Windows 8.1
Le 2015-01-12 22:56:46, par Hinault Romaric, Responsable .NET
Décidément, Microsoft et Google n’ont pas la même vision en ce qui concerne la divulgation des failles de sécurité dans des produits. Pour Google, après un certain délai, la faille doit être divulguée publiquement afin d’inciter la sortie des correctifs, alors que pour Microsoft l’opération doit être concertée et la faille doit être maintenue secrète jusqu’à publication d’un correctif.
Ainsi, un expert en sécurité de Microsoft a critiqué vertement Google pour avoir divulgué des détails sur une faille zero-day dans Windows pour lequel un correctif n’était pas encore disponible.
À titre de rappel des faits, Google dispose d’un programme « Google Project Zero », permettant à ses experts en sécurité de répertorier des failles de sécurité dans des applications. Lorsqu’une vulnérabilité est enregistrée, une notification est envoyée à l’éditeur de la solution touchée, et la faille est divulguée publiquement 90 jours après, qu’un correctif soit disponible ou non. C’est ce qui s’est passé avec Windows.
Chris Betz, directeur de Microsoft Security Response Center (MSRC) a fustigé l’attitude de Google, affirmant que la firme était au courant qu’un correctif était dans les bacs et qu’il fallait juste attendre quelques jours afin qu’il soit publié.
« Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », explique Chris Betz dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »
Alors que du côté de Google, il est question de mettre la pression sur l’éditeur pour publier une faille, pour Betz, l’action de la firme est plus une provocation, qui ne profite pas aux utilisateurs. Au contraire, en agissant ainsi, cela met la pression dans un environnement déjà complexe et augmente de façon significative le risque.
« Ce qui est bon pour Google ne l’est pas forcément pour les clients. Nous demandons instantanément à Google de faire de la protection des clients notre but collectif premier », exhorte Betz.
Le responsable de la sécurité de Microsoft invite la communauté à une divulgation cordonnée des vulnérabilités. Concrètement, il souhaite que celui qui trouve une faille signale celle-ci discrètement afin qu’un correctif soit publié avant la divulgation de la faille. Betz affirme que les failles corrigées ainsi ne font pratiquement pas l’objet d’une exploitation, même après leur divulgation. Par contre, en procédant comme Google l’a fait, les exploits des pirates sont plus fréquents.
Source : Blog Technet
Ainsi, un expert en sécurité de Microsoft a critiqué vertement Google pour avoir divulgué des détails sur une faille zero-day dans Windows pour lequel un correctif n’était pas encore disponible.
À titre de rappel des faits, Google dispose d’un programme « Google Project Zero », permettant à ses experts en sécurité de répertorier des failles de sécurité dans des applications. Lorsqu’une vulnérabilité est enregistrée, une notification est envoyée à l’éditeur de la solution touchée, et la faille est divulguée publiquement 90 jours après, qu’un correctif soit disponible ou non. C’est ce qui s’est passé avec Windows.
Chris Betz, directeur de Microsoft Security Response Center (MSRC) a fustigé l’attitude de Google, affirmant que la firme était au courant qu’un correctif était dans les bacs et qu’il fallait juste attendre quelques jours afin qu’il soit publié.
« Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », explique Chris Betz dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »
Alors que du côté de Google, il est question de mettre la pression sur l’éditeur pour publier une faille, pour Betz, l’action de la firme est plus une provocation, qui ne profite pas aux utilisateurs. Au contraire, en agissant ainsi, cela met la pression dans un environnement déjà complexe et augmente de façon significative le risque.
« Ce qui est bon pour Google ne l’est pas forcément pour les clients. Nous demandons instantanément à Google de faire de la protection des clients notre but collectif premier », exhorte Betz.
Le responsable de la sécurité de Microsoft invite la communauté à une divulgation cordonnée des vulnérabilités. Concrètement, il souhaite que celui qui trouve une faille signale celle-ci discrètement afin qu’un correctif soit publié avant la divulgation de la faille. Betz affirme que les failles corrigées ainsi ne font pratiquement pas l’objet d’une exploitation, même après leur divulgation. Par contre, en procédant comme Google l’a fait, les exploits des pirates sont plus fréquents.
Source : Blog Technet
-
myNameIsFloMembre habituéMicrosoft a demandé d'attendre 2 jours. Ce que google n'a pas fait pour l'emmerder. Ils sont concurrents ou pas?
Concernant, les remarques que Microsoft a les moyens. . .
Ce n'est pas une question de moyens mais de complexité. 90 jours pour corrigés un OS tel que Windows sur une faille complexe, c'est peu
Dans ma 'petite' entreprise, les clients attendent souvent 10 jours pour une correction sur un logiciel pas forcément complexe et payé un 'peu' plus que 100€. Personne ne se plaint.
Je ne suis pas pour ou contre mais il faut remettre les choses dans leur contexte (bande de français râleurle 13/01/2015 à 13:18 -
Pierre GIRARDExpert éminentAttendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?
Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).
Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.le 16/01/2015 à 12:38 -
ZirakInactifJe ne sais même pas pourquoi vous vous acharnez à répondre à l'autre troll qui transpire la mauvaise foi par tous les pores de sa peau (et qui en plus, troll comme un élève de CP écrivant un sms) ??
Microsoft pourrait sacrifier des enfants en l'honneur de Bill Gates, qu'il leur lancerait encore des fleurs...
Il est tellement de mauvaise foi, que même quand Microsoft fait de la merde (comme toutes les boîtes, ça leur arrive), il arrive à nous dire que finalement c'était une bonne chose.
Oui aucune société n'est parfaite, que cela soit Microsoft, Apple, Google ou autres, maintenant, la news parle d'un problème chez Microsoft, pas des autres.
Si tu veux dire du mal des autres aussi GHetfield, pour que cela soit plus "équitable", va troll directement les news qui parlent des problèmes rencontrés chez les concurrents.le 19/01/2015 à 11:00 -
Traroth2Membre émériteEn fait, c'est Microsoft qui met en danger ses utilisateurs en ne corrigeant pas suffisamment rapidement les failles. Il est parfaitement possible que celle-ci soit déjà exploité. Les pirates ont la fâcheuse tendance à ne pas publier un communiqué quand ils développent un malware exploitant une faille.
C'est pour cette raison que je comprends parfaitement que Google impose un délai maximum avant de publier la faille quoi qu'il arrive. Microsoft a déjà un sacré passif de failles corrigées très tardivement.le 19/01/2015 à 15:22 -
expertsecuInactifle 25/01/2015 à 1:47
-
Pierre GIRARDExpert éminentMalheureusement, on est bien obligés de lire les délires de certains si on veux suivre sérieusement un sujet. On en est déjà à deux page de pollution depuis que t'as lancé ton Troll.
D'où ma question "T'en n'as pas marre de raconter des âneries ?"le 18/01/2015 à 20:26 -
Pierre GIRARDExpert éminentDécidément, soit tu ne sais pas lire, soit tu comprends tout de travers.
- Il ne se plaint pas de Apple : Parce qu'il n'est pas client. Si il l'était il n'hésiterait pas à s'en plaindre
- Il se plait de µSoft : Parce qu'il est client. Si il ne l'était pas, il ne serait probablement pas venu sur ce fil. Mais ayant investit dans des produits de cet éditeur, il a naturellement son mot à dire.
- Il ne s'est pas plaint non plus quand Google a révélé des failles dans GNU/Linux, car ces failles ont été résolues rapidement par la communauté.
Et c'est exactement pareil pour moi ... car je ne suis client ni de Oracle, ni de Apple, et en plus, je ne suis pas client de Google. Mais, en tant que client de µSoft, j'attends de lui un service à la hauteur des tarifs qu'il pratique pour des particuliers comme moi. La correction prioritaire des failles me semble une attente légitime pour les clients.
Il n'y a pas de raison pour qu'il mette plus de temps à corriger ses failles que les autres. Et si je veux bien admettre que Windows est complexe et qu'une faille ne soit pas facile à corriger, et bien, c'est exactement la même chose sous Androïd, MacOSX ou Linux.le 19/01/2015 à 7:14 -
kolodzModérateurHors sujet :
Pour rappel, c'est Adobe qui est en charge du plug-in Flash pour Firefox. D'ailleurs, c'est sur leur site que je vais faire les mises à jours et non chez Mozilla.
Donc, jeter la faute sur le navigateur pour Silverlight me semble un peu facile, sachant que l’outil que Silverlight concurrence(ait ?) prends en charge cette intégration.
--- Fin du HS ---
Pour les failles de sécurités, quand Microsoft annonce "C'était dans le prochain patch", il y énormément de boite qui annonce ça quand une faille est révélé au publique.
D'ailleurs pour l'un de mes sujets de blog, je suis tombé sur ce blog :
http://www.ifc0nfig.com
Et en particulier : Moonpig vulnerability qui est une "discosure" responsable. La faille en question a un an et demi.
Le blog en question a publié plusieurs "discosure", à lire donc.
Sans approuvé à 100% le comportement de Google dans ces cas. Le fait est qu'il est encore souvent nécessaire de rendre une faille publique pour que celle-ci soit traité.
Cordialement,
Patrick Kolodziejczyk.le 19/01/2015 à 9:58 -
TryphMembre éméritesérieusement tu t'imagines avoir une responsabilité dans ce changement de politique...?
sérieusement, je comprends que Google adapte sa politique histoire de faire semblant de contenter les râleurs, mais bordel si on regarde bien ils ont pas changé grand choses:
- si le 91e jour tombe un week end, ils attendront le lundi pour divulguer la faille. honnêtement je vois pas comment on peut (du coté des plaignants) se féliciter d'une telle "victoire". c'est juste ridicule...
- si l'éditeur du soft faillible dépose une demande de prolongation avant la fin du 90e en promettant un patch à venir rapidement, il pourra bénéficier de 14 jours de plus. là c'est déjà plus intéressant pour l'éditeur pas pressé, un peu "j'm'en foutiste" (ce qui revient peut être un peu au même), qui fait face à un vrai défi technique ou qui subit l'architecture bancale de son soft. bien que j'ai du mal à croire que ça va changer grand chose pour la plupart des corrections (qui ne doivent pas prendre 14 jours, ni même 90 ou 104) peut être que ça pourra être réellement utile dans certain cas. après je doute pas que certains éditeur risquent de demander ce délai systématiquement. mais faut pas oublier que "Comme d'habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières." (dixit Google), donc prudence...
j'espère que Google fournira des statistiques sur ceux qui demandent ces délais et pour quelles failles, histoire de voir quels éditeurs se foutent de nous.le 17/02/2015 à 10:37 -
imikadoRédacteur1. Vous souvenez-vous qu'ils voulaient concurrencer Adoble Flash ? qui lui tourne sous Windows, Mac et GNU/Linux sur tous les navigateurs ?
2. ils anoncent clairement sur leur site:
Il n'y a pas marqué "ce plugin ne fonctionne QUE sous Windows, avec le navigateur IE.XX, non ?
De plus, je rappelle juste qu'à l'époque de son lancement, ils se positionnaient clairement comme un concurrent de flash, ça aussi vous l'oubliez ?
L’éditeur de Redmond présente son alternative à la solution d’animation d’Adobe, très répandue. Baptisée Silverlight, elle met l’accent sur la vidéo, dans le but de détrôner Flash sur des plates-formes communautaires telles que YouTube ou MySpace.
L'éditeur américain va collaborer avec Novell afin d’adapter Silverlight, sa technologie web concurrente de Flash d’adobe, pour les systèmes Linux. Elle prendra alors l’appellation Moonlight.
Je ne connais pas openErp et ce n'est pas une technologie m'embetant ou embettant les utilisateurs grand public
Je le rappelle: je n'utilise pas de produits Apple
Pour Google, je suis libre d'utiliser ou non leurs produits en connaissance de cause: si je ne suis pas content je ne les utiliserait pas
Pour rappel, c'est Microsoft qui s'est permis de lire, rechercher dans les mails "hotmail" d'un de ses employés, mais là, ça ne vous dérange pas
La news parle ici de Microsoft, ce n'est pas une fixation mais une réaction à la news, par contre vous et le libre, ça c'est une fixationle 18/01/2015 à 23:09