Passer au contenu

Un ingénieur Google exploite une faille zero-day dans Windows sans crier gare

Adepte d’une transparence maximale, Travis Ormandy a directement publié les détails d’une faille Windows et le code qui permet de l’exploiter dans une liste de diffusion publique.

Pas vraiment très sympa, doivent se dire les développeurs Windows chez Microsoft. Il y a quelques semaines, un chercheur en sécurité chez Google, Travis Ormandy, a découvert une faille zero-day dans le système Windows. Peu adepte de la procédure « Responsable Disclosure » – qui voudrait qu’une faille soit d’abord notifiée secrètement auprès de l’éditeur pour lui donner le temps de la colmater –  l’ingénieur livre directement tous les détails du bug dans une liste de diffusion.  Il faut dire qu’il avait de bonnes raisons : il cherchait un acolyte pour l’aider à exploiter la faille, car lui-même n’avait « pas beaucoup de temps libre pour travailler sur le code débile de Microsoft ». On le voit : Travis Ormandy n’est pas non plus très diplomate.

En revanche, il est doué et chanceux. Il y a quelques jours, il a réussi, avec le concours de « progrmboy », de développer un « exploit ». Là encore, Travis Ormandy n’y est pas allé par quatre chemins : il a publié son code directement dans la liste de diffusion, ouverte à tous. Selon The H, ce programme permet d’accéder à tous les privilèges sur un ordinateur Windows et d’exécuter n’importe quelle commande. Microsoft ne doit certainement pas être ravi : l’éditeur doit maintenant se dépêcher de colmater la faille pour éviter que le code ne se propage dans les logiciels malveillants. Selon The H, Microsoft assure qu’il va prendre des « mesures appropriées » pour protéger ses clients, sans pour autant donner de délai.

Ce n’est pas la première fois que Travis Ormandy agace la firme de Redmond. En 2010, ce chercheur avait déjà découvert une faille dans Windows et il l’avait publiée directement sur le web. Evidemment, il ne s’agit pas là d’un hasard ou d’une imprudence : l’ingénieur Google est un partisan féroce d’une transparence maximale en matière de failles de sécurité. D’ailleurs, il signe ses messages par une devise appropriée : « Full Disclosure – We believe in it ». Voilà qui est cohérent.  

Sources :

Le full disclosure et l’exploit de Travis Ormandy
Le test de The H   

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn