La révélation d’un bug dans Windows 8.1 par Google le 11 de ce mois a fait que Microsoft n’a pas épargné les critiques à son rival. Mais la relation épineuse entre les deux parties est loin d’être terminée : récemment, des détails concernant deux autres bogues non corrigés ont fait surface.
Il n’est jamais trop tard pour rappeler que toutes ces vulnérabilités ont été rendues publiques grâce au Projet Zéro, un programme que Google a créé en 2014 pour réduire l’incidence des problèmes de sécurité sur Internet.
Pour cela, une équipe spécialisée “chasse” les défaillances importantes des systèmes les plus répandus. L’entreprise responsable du logiciel est informée si un problème a été identifié et dispose alors de 90 jours civils pour mettre la correction à disposition. Si ce n’est pas le cas, Google publie les détails de la violation.
C’est le cas du bug signalé le 11 et d’un bug publié plus tôt, fin 2014. Il en a été de même pour les deux cas les plus récents. La première, notifiée le 17 octobre dernier, concerne les paramètres d’alimentation de Windows 7 et, selon Microsoft, est si peu importante qu’elle n’a pas besoin d’être corrigée.
Identifiée le même jour, la seconde défaillance concerne à la fois Windows 7 et Windows 8.x. Celui-ci mérite une mise à jour : le problème fait que le système, dans certaines circonstances, ne vérifie pas correctement l’identification de l’utilisateur dans les opérations cryptographiques, ce qui met en danger la protection de certaines informations.
Microsoft a même travaillé sur un correctif qui devait être publié en même temps que ceux publiés mardi dernier (13), mais a dû abandonner dans un bref délai après avoir trouvé des problèmes de compatibilité dans la mise à jour. La conséquence est la suivante : les deux bogues ont atteint la 90e échéance sans qu’aucune correction ne soit apportée et Google a décidé de les rendre publics.
Cette fois-ci, la réaction de Microsoft a été plus “comportementale”. La société a expliqué que le deuxième bogue sera corrigé en février et que son exploitation n’est possible que si un autre bogue non détaillé est utilisé. La société a déclaré qu’elle n’avait toujours pas connaissance d’attaques liées aux vulnérabilités en question.
Le sujet est de plus en plus controversé. Certains professionnels de la sécurité estiment que 90 jours suffisent pour rendre les corrections disponibles, tandis que d’autres pensent que l’équipe du Projet Zéro ne peut pas dicter les règles parce qu’elle ne connaît pas les détails de chaque logiciel analysé.
Comme Google a déjà laissé entendre qu’il continuera à suivre strictement les commandements du programme, certains parient que Microsoft va finalement décider de précipiter le développement des mises à jour.
Pour rester dans les 90 jours, l’entreprise peut devoir publier ces mises à jour en dehors du “Patch Tuesday” (publication des mises à jour de sécurité le deuxième mardi de chaque mois). Ce n’est pas une possibilité qui plairait à tout le monde : dans les services informatiques de certaines entreprises, les mises à jour “hors saison” peuvent augmenter la maintenance et l’indisponibilité les ordinateurs temporaires.
