Passer au contenu

Microsoft se fâche contre Google après la publication de failles zero-day dans Windows

Le géant du Web a publié par deux fois sur le web des failles de Windows 8 dans le cadre de son programme « Projet Zero ». Mais la méthode suscite des critiques de la part de Microsoft.

C’est une lettre au ton mesuré, mais qui transpire le mécontentement. Elle est signée Chris Bentz, patron du Microsoft Security Response Center, et fait suite à la publication de deux failles zero-day dans Windows 8.1 par les équipes du Projet Zero de Google.

Cette « unité d’élite » de hackers, en croisade contre les failles de sécurité, a des méthodes expéditives. Lorsqu’elle découvre une faille, le Projet Zero prévient l’éditeur concerné et lui laisse 90 jours pour la réparer. S’il ne corrige pas le problème, la faille est alors publiée sur le Web et est donc accessible à tous, y compris à de potentiels cybercriminels.

C’est exactement ce qui est arrivé par deux fois à Microsoft, qui n’a pas comblé les failles de Windows 8 avant le délai des 90 jours. Et de voir des millions de ses clients Windows 8 exposés à une faille de sécurité par Google ne plait pas du tout, du côté de Redmond. « Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la publication de notre correctif dans le cadre de notre fameux Patch Tuesday, alors que nous leur avions demandé de ne pas le faire » écrit Bentz. Qui précise : « nous avions demandé à Google de travailler avec nous afin de protéger nos clients en ne révélant pas de détails avant mardi 13 janvier, au moment où nous publierons le correctif. »

« Ce qui est bon pour Google ne l’est pas forcément pour les clients »

Alors que Google estime que ses « coups de pression » vont forcer les éditeurs à corriger les failles plus vite, Microsoft préfère ce qu’il appelle « la divulgation coordonnée de vulnérabilités ». Autrement dit : celui qui découvre la faille prévient discrètement l’éditeur visé, qui la corrige avant que des informations ne soient publiées sur la Toile. Selon Bentz, la décision de Google « tient moins de principes que du ‘je t’ai eu !’ […] Ce qui est bon pour Google ne l’est pas forcément pour les clients. Et nous exhortons Google de faire de la protection des consommateurs notre but collectif premier ».

Une défense louable, mais qui vient peut-être un peu tard. Car Microsoft a une longue histoire de vulnérabilités qu’il a tardé à corriger, comme le rappelle Robert Graham, hacker et patron d’Errata Security. Sur son blog, ce vieux briscard de la sécurité informatique décrit comment les vulnérabilités étaient gérées par l’éditeur de Windows il y a une dizaine d’années. « Microsoft dictait à l’époque la manière dont les vulnérabilités étaient reportées. Les chercheurs qui découvraient de tels bugs devaient informer les éditeurs en secret et leur donner tout le temps nécessaire pour les corriger. Microsoft a parfois attendu des années avant d’en corriger certains et profitait du fait qu’il était en mesure de blacklister des chercheurs pour les faire taire. » Visiblement, les temps ont changé…

Source : Microsoft

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Eric LB