Microsoft n'est pas content. En moins d'un mois, l'équipe Project Zero de Google vient de divulguer une 2ème faille d'élévation de privilèges dans Windows 8.1 que Microsoft n'a pas encore corrigée. Cette équipe constituée d'experts en sécurité se consacre à la recherche de failles critiques dans les logiciels les plus utilisés au niveau mondial afin de les signaler à leurs éditeurs. Si ces derniers ne les corrigent pas sous 90 jours, Project Zero communique alors publiquement des détails sur ces vulnérabilités. Et c'est ce qui s'est passé avec Microsoft. Le 30 septembre dernier, les experts de Google ont signalé à l'éditeur de Redmond un problème d'élévation de privilèges sur Windows 8.1. En l'absence de correction au bout de 90 jours, Project Zero l'a publiquement révélé. Ce type de faille peut conduire un utilisateur à accéder à des fonctions qui ne lui étaient pas accordées. 

Quelques semaines plus tard, le même scénario s'est rejoué avec une faille de même nature (élévation de privilèges dans Windows 8.1). Signalée à l'éditeur de l'OS le 13 octobre, elle a été automatiquement révélée le 11 janvier, soit deux jours avant la diffusion du correctif mensuel de sécurité que publie Microsoft, le fameux Patch Tuesday, désormais rebaptisé Update Tuesday et dont les dispositions viennent d'être modifiées (*). Cette fois, la société dirigée par Satya Nadella proteste. Dans un billet, Chris Betz, directeur senior au MSRC, le « Security Response Center » de Microsoft, réclame une meilleure coordination sur la communication publique des failles découvertes. « Nous avons demandé à Google de travailler avec nous pour protéger nos clients en retenant leurs informations jusqu'au 13 janvier, date à laquelle nous allions publier un correctif », explique-t-il. Or Project Zero s'en est strictement tenu à son planning et a communiqué sur la faille à la date initialement prévue. Sur le site code.google.com, on peut lire dans un échange daté du 14 novembre que Microsoft avait confirmé à Google qu'il livrerait un correctif en février 2015 et demandé si cela poserait un problème avec la date limite des 90 jours. Il lui a été répondu que cette « deadline » était fixée pour tous les fournisseurs et types de bugs, qu'elle ne pouvait en conséquence pas être étendue et qu'elle expirait le 11 janvier. Microsoft a par la suite indiqué qu'il avançait à janvier la livraison de son correctif. A quelques jours près, il était dans les temps.

Délai insuffisant pour livrer un correctif

En pratique, les éditeurs qui publient des mises à jour de sécurité tous les mois ou tous les trimestres, en ne livrant que rarement des correctifs en dehors des dates fixées, ont moins de 90 jours pour corriger les failles que leur communique Google. Chris Betz fait valoir le point de vue de Microsoft. Pour l'éditeur de Redmond, ceux qui révèlent une vulnérabilité avant que le correctif associé soit largement diffusé ne rendent pas service aux millions de gens dépendants des systèmes concernés. 

D'autres (entreprises tout autant que particuliers) estiment au contraire qu'il est important de communiquer largement sur les failles afin de pouvoir se défendre individuellement. Pourtant, pointe le directeur senior au MSRC dans son billet, la plupart des utilisateurs n'engagent aucune action pour résoudre le problème et restent largement tributaires du fournisseur du logiciel pour corriger la faille. Pour Chris Betz, on accroît le risque de façon significative, même pour ceux qui sont en mesure de se protéger, dès lors que l'on publie les détails d'une faille qu'un cybercriminel pourrait exploiter. 

Microsoft, dont les chercheurs en sécurité trouvent également des failles dans les produits d'autres éditeurs, pratique une politique coordonnée, baptisée CVD pour Coordinated Vulnerability Disclosure. Celle-ci encourage la société qui découvre les failles à travailler avec le fournisseur du produit jusqu'à ce que ce dernier ait mis au point et diffusé un correctif. Le détail du problème n'est partagé qu'après cette diffusion.

(*) Le 8 janvier dernier, Microsoft a modifié les conditions de diffusion du bulletin de sécurité avancé (Advance Notification Service) de son Patch Tuesday, le réservant aux seuls clients disposant d'un support Premier.