Les chercheurs en sécurité ne veulent plus aider Microsoft

Un groupe de chercheurs en sécurité informatique tient à montrer son désaccord face à l'attitude de Microsoft. Après qu'un ingénieur de Google, Travis Ormandy a divulgué une vulnérabilité sur le service d'aide et de support de Windows XP, Microsoft a estimé que plus de 10.000 PC avaient été attaqués par ce biais.

Du coup, un groupe anonyme de spécialistes en sécurité vient de créer le MSRC (Microsoft Spurned Researcher Collective) ou « Collectif pour les chercheurs rejetés par Microsoft ». Une parodie au Microsoft Security Response Center, l'organisme de la firme de Redmond chargée d'éditer les patchs de sécurité.

Il faut dire qu'une règle non-inscrite régit le monde de la sécurité informatique. Une faille ne doit être révélée qu'après correction de la vulnérabilité. Microsoft a alors réagit vivement, d'où l'accès de colère des spécialistes et la création de ce groupe de contestataires. Selon Computerworld, ce nouvel MSRC promet de mener la vie dure aux responsables de Microsoft.

Ces chercheurs promettent même de divulguer les failles de sécurité qu'ils trouveront pendant leur « temps libre ». Ils ont ainsi déjà mis à jour une vulnérabilité 0-day affectant Windows Vista et Windows 2008. Son exploitation permettrait un déni de service voire une élévation de privilèges si elle est orchestrée localement.

Reste à savoir si cette initiative profitera à la sécurité générale ou aura pour conséquence d'augmenter le nombre d'infections. Ou n'aura peut-être pas d'effets du tout...