Microsoft n’a pas apprécié que Google révèle les détails d’une faille de Windows 8.1 quelques jours avant la publication d’un correctif.
Alors que Microsoft a publié ce mardi un correctif pour une faille de sécurité dans Windows 8.1, la firme de Redmond n’a pas apprécié que Google publie les détails de la vulnérabilité quelques jours avant la publication du patch. L’équipe de sécurité de Microsoft a fait part de sa colère.
Dans les faits, c’est l’équipe du programme Project Zero de Google, qui vise à identifier des failles de sécurité et d’en informer les sociétés, qui a découvert la faille de sécurité en question. Il est prévu un délai de 90 jours pour déployer un correctif avant que l’information ne soit publiée.
C’est ainsi que Microsoft a été avertie le 13 octobre dernier. Alors que Microsoft préparait un correctif qui a été publié ce 13 janvier, Google est resté inflexible sur le délai de 90 jours malgré la connaissance du fait qu’un correctif était en cours de préparation, ce qui fait que la vulnérabilité a été publiée deux jours avant la sortie du patch correcteur.
C’est ainsi que Chris Betz, directeur du Microsoft Security Response Center, s’en est ouvertement pris à Google dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au mardi 13 janvier, lorsque nous publierons un correctif ». Irrité, il ajoute que « la décision de Google tient moins des principes que du « je t’ai eu ». Ce qui est bon pour Google ne l’est pas souvent pour les clients. Nous exhortons Google à faire de la protection des clients notre but collectif premier ».
La position de Google est qu’il est important de faire pression sur les équipes de sécurité afin que les vulnérabilités soient prises en charge rapidement par les entreprises, d’où la défense de son délai de 90 jours.
Chris Betz précise également que corriger des failles de sécurité est « un vaste processus complexe et chronophage », ce qui signifie aussi que le délai de 90 jours est certainement justifié, mais pas forcément toujours adapté.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.