Microsoft réprimande Google pour la divulgation d'une vulnérabilité sur Windows 8.1

Chris Betz, responsable de la sécurité chez Microsoft, demande une meilleure coordination dans la divulgation des failles de sécurité et regrette que Google ait publié ses découvertes deux jours avant le déploiement d'un patch.

logo sécurité microsoft
En fin de mois dernier, l'équipe Google Security Research publiait des informations sur une vulnérabilité repérée au sein de Windows 8.1. Celle-ci permettait à un hacker d'obtenir une élévation de privilèges au sein du système en passant administrateur. Microsoft avait annoncé être en train de préparer un correctif, et précisé que ce hack nécessitait au préalable de pouvoir s'identifier sur la session Windows de la victime.

En publiant ses découvertes, l'ingénieur de Google a, pour sa part, mentionné avoir attendu 90 jours. « Si au bout de 90 jours il n'y a pas eu de patch globalement déployé alors ce rapport de bug sera automatiquement visible au public », est-il écrit en bas du message.

Chris Betz s'est exprimé sur le délicat sujet de la divulgation coordonnée de vulnérabilités, une question qui fait débat depuis très longtemps. Faut-il attendre avant de publier les détails d'une vulnérabilité ? Pour certains, la publication immédiate forcerait l'éditeur à produire un correctif et donc à sécuriser plus rapidement les consommateurs. M. Bers affirme : « Nous ne sommes pas d'accord ». L'homme estime que cela rajoute de la pression dans un environnement déjà complexe. Il déclare qu'il faut au préalable avoir déployé le correctif.

La politique de Google vise à attendre trois mois même si aucun correctif n'a été déployé, une position inflexible que Microsoft condamne.

« Google a publié des informations sur une vulnérabilité affectant un produit Microsoft deux jours avant notre correctif planifié dans le cadre de notre fameux Patch Tuesday et malgré le fait qu'on leur ait demandé d'éviter de le faire », affirme le responsable de la sécurité chez Microsoft. Selon lui, la publication de Google tenait plus à une provocation qu'à autre chose, affectant toutefois principalement les consommateurs. Et d'ajouter : « Ce qui est juste pour Google ne l'est pas toujours pour les utilisateurs ».

La firme de Redmond lance ainsi un appel afin que les éditeurs et les chercheurs en sécurité puissent coordonner leurs efforts pour sécuriser au maximum les utilisateurs de leurs services respectifs.
Modifié le 12/01/2015 à 15h33
Commentaires