Microsoft prend-t-il au sérieux la sécurité informatique ? C’est la question que pose Amit Yoran, le patron de Tenable, une société spécialisée dans ce domaine. Il déplore le temps pris par l’éditeur de Windows pour boucher une faille repérée par un de ses chercheurs en sécurité. En mars, ce dernier découvre une vulnérabilité critique dans Azure, la plateforme cloud de Microsoft très utilisée en entreprise. Entre de mauvaises mains, elle pouvait donner à un pirate l’accès à des informations sensibles.
Des données sensibles accessibles aux pirates
Yoran donne un exemple qui fait effectivement froid dans le dos : « Pour vous donner une idée du danger, notre équipe a très rapidement découvert des informations d’authentification d’une banque ». Après avoir signalé la faille à Microsoft, le dirigeant s’attendait à une réponse rapide. Il a toutefois fallu attendre le mois de juin pour un premier correctif partiel ; un deuxième correctif mis en ligne par la suite a supprimé le risque pour une majorité des clients d’Azure.
« Il leur a fallu plus de 90 jours pour implémenter un correctif partiel », déplore Amit Yoran, « et uniquement pour les nouvelles applications enregistrées dans le service. Cela signifie qu’aujourd’hui, la banque à laquelle je faisais référence est toujours vulnérable plus de 120 jours après avoir signalé le problème. Comme toutes les autres organisations ayant lancé leur service avant le correctif ».
Microsoft a réagi à la polémique, en affirmant suivre un processus rigoureux qui nécessite une enquête approfondie, le développement de mises à jour pour toutes les versions du logiciel affecté, et des tests de compatibilité sur de nombreux systèmes d’exploitation. « Développer une mise à jour de sécurité est un équilibre délicat entre la rapidité et la qualité, tout en garantissant une protection maximale du clavier avec une perturbation minimale », conclus l’éditeur.
Microsoft n’est pas sorti de l’auberge pour autant. Un sénateur américain Ron Wyden a récemment accusé l’entreprise de « pratiques négligentes » en matière de cybersécurité après plusieurs exemples fameux : le hack de SolarWind en 2020, et un autre hack lié à Outlook découvert le mois dernier. Il a réclamé une enquête pour « négligence en cybersécurité ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : PC Mag