Selon Microsoft, la divulgation sous dix jours des vulnérabilités découvertes est un risque pour les utilisateurs. Les deux géants sont en désaccord après la publication d’une faille non corrigée touchant Windows 10.
Toujours la même tension entre Google et Microsoft sur la gestion de crise des failles de sécurité. Cette fois-ci, cela fait suite à une divulgation d’une vulnérabilité critique touchant Windows 10 par Google dix jours après sa découverte. Le patch n’est pas encore disponible, et prévu dans une semaine par l’éditeur.
Dans un billet de blog, Google se justifie en expliquant que Microsoft n’a publié ni alerte ni patch pour cette faille critique faisant d’ores et déjà l’objet d’exploitations sur Internet par un groupe de pirates connu sous le nom de Strontium (aka « Fancy Bear » ou APT 28) pour des cyberattaques très élaborées. « Cette vulnérabilité est particulièrement grave car nous savons qu’elle est activement exploitée », déclarent les experts de Google.
Mais voila, divulguer publiquement une vulnérabilité critique touchant un logiciel si populaire avant même qu’un patch soit diffusé est-il une bonne solution pour la sécurité ? Certainement pas pour Microsoft. On peut imaginer que Google souhaite par ce biais accélérer drastiquement le processus de correction. Or, on peut aussi se faire la réflexion concernant Google et son système Android : n’est-il pas celui ayant le plus important taux de fragmentation du marché et donc, celui dont le nombre de terminaux non patchés est élevé ? Google est-il bien placé pour faire cette morale à Microsoft ? Chacun se fera sa propre idée sur la question…
« Nous croyons en une divulgation coordonnée des vulnérabilités, et la divulgation d’aujourd’hui par Google pourrait potentiellement mettre les clients à risque » s’est expliqué Microsoft.
En outre, l’éditeur de Windows 10 ne partage pas l’analyse de Google concernant la gravité de la faille signalée. Le désaccord porte sur une élévation locale de privilège qualifiée de « critique » et « particulièrement sérieuse » par Google. Microsoft souligne que le scénario d’attaque décrit par la firme est annihilé par le déploiement la semaine dernière d’une mise à jour d’Adobe Flash… vaste débat !
Quoi qu’il en soit, Microsoft a précisé qu’il diffuserait la semaine prochaine un patch de sécurité pour cette faille de Windows via le premier Patch Tuesday de novembre.
Source : ZDNet
Les commentaires sont fermés.