Deux jours avant le déploiement d’un patch, Google divulgue une vulnérabilité dans Windows 8.1, ce qui n’est pas du goût de Microsoft.
L’équipe Google Security Research a découvert une faille dans Windows 8.1 qui permet à un hacker d’obtenir une élévation de privilèges au sein du système en passant administrateur. Microsoft avait annoncé être en train de préparer un correctif et précisé que cette vulnérabilité nécessitait au préalable de pouvoir s’identifier sur la session Windows de la victime.
Alors que Microsoft allait publier le correctif à l’occasion de son habituel Patch Tuesday, un ingénieur de Google a publié sa découverte deux jours avant le déploiement d’un patch.
Chris Betz, responsable de la sécurité chez Microsoft, regrette que Google ait publié ses découvertes deux jours avant le déploiement d’un patch et demande une meilleure coordination dans la divulgation des failles de sécurité.
Alors que la politique de Google est d’attendre trois mois avant de publier ses découvertes, même si aucun correctif n’a été déployé, l’ingénieur de Google explique avoir attendu 90 jours : « Si au bout de 90 jours il n’y a pas eu de patch globalement déployé alors ce rapport de bug sera automatiquement visible au public », a-t-il écrit en bas du message.
« Google a publié des informations sur une vulnérabilité affectant un produit Microsoft deux jours avec notre correctif planifié dans le cadre de notre Patch Tuesday bien connu et malgré notre requête en ce sens », dénonce Chris Betz. Selon lui, la publication de Google serait avant tout une provocation qui affecte principalement les consommateurs : « Ce qui est juste pour Google ne l’est pas toujours pour les utilisateurs ».
Alors que Google reste campé sur une position inflexible, Microsoft condamne cette attitude. Il est vrai que la question de la divulgation coordonnée des vulnérabilités faite débat depuis très longtemps. Pour certains, ne pas attendre la publication d’un correctif forcerait les éditeurs à produire un patch plus rapidement, donc sécuriser plus rapidement les consommateurs. Une position qui n’est pas celle de Microsoft vu que Chris Betz répond : « Nous ne sommes pas d’accord » en expliquant que cela rajoute de la pression dans un environnement déjà complexe.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.