Ce dimanche (11), Google a publié une autre faille de sécurité non corrigée dans Windows 8.1. Le précédent, publié fin 2014, a probablement mis Microsoft en colère, mais la société a gardé son calme. La dernière en date semble toutefois avoir été la goutte d’eau qui a fait déborder le vase.
La divulgation des fautes fait partie du Projet Zéro, un programme qui tente de rendre le web plus sûr. Il fonctionne comme suit : une équipe de Google spécialisée dans les systèmes de recherche de sécurité avec un nombre considérable d’utilisateurs à la recherche de bogues importants. Lorsqu’un bogue est découvert, l’entreprise responsable du logiciel en est informée.
Après l’avis, l’entreprise dispose de 90 jours civils pour apporter une correction. Lorsque ce délai n’est pas respecté, Google publie une alerte publique détaillée sur le problème. C’est ce qui s’est passé avec Microsoft.
Le premier bug a été signalé le 30 septembre 2014. Après 90 jours, aucune correction n’avait été apportée. Cela a conduit Google à signaler publiquement le bogue à la fin du mois de décembre.
Le même rituel s’est produit lors du dernier échec : Microsoft a été averti le 13 octobre, mais 90 jours se sont écoulés et rien n’a été fait. En conséquence, Google a publié les détails de la vulnérabilité ce dimanche.
Ce qui a quitté Microsoft “à vie”, c’est que la sortie de la mise à jour était prévue pour demain, le 13, selon un calendrier qui est devenu connu sous le nom de “Patch Tuesday” : depuis des années, la société fournit des mises à jour de sécurité le deuxième mardi de chaque mois.
C’était comme si on se demandait “Est-ce que c’était dur d’attendre deux jours de plus ?” dans l’air. Chris Betz, directeur du Security Response Center de Microsoft, a déclaré avoir informé Google du projet de maintenir l’alerte jusqu’à ce mardi. Rien n’a été fait.
Pour sa défense, Google a expliqué que Microsoft a été averti à la fois de la date limite (11 janvier) et du fait que le délai de 90 jours est valable pour toutes les entreprises et tous les types de bogues, sans exception.
Les avis sur la question sont partagés. Dans la liste qui traite de l’échec(celle-ci par rapport au premier cas), il y a ceux qui défendent les 90 jours comme un délai plus que raisonnable, tout comme il y a ceux qui soutiennent que Google ne possède pas le code source du système d’exploitation, par conséquent, ils ne savent pas à quel point la résolution du problème est complexe.
L’échec en question permet à un compte limité d’accéder au système avec des privilèges d’administrateur. Dans un premier temps, il n’est pas possible d’exploiter la faille par le biais de logiciels malveillants, mais un accès inapproprié peut être utilisé pour télécharger la sécurité de Windows, par exemple, l’une des raisons pour lesquelles la question est considérée comme importante.
