Google et Microsoft sont de nouveau en conflit frontal sur la question de la divulgation des vulnérabilités. Le géant de la recherche avait donné dix jours à Microsoft pour prévenir le public de l’existence d’une faille critique dans son OS. Mais, lundi dernier, après expiration de ce délai, Google a publié sur son blog de sécurité des informations sur la vulnérabilité zero day, au motif que Microsoft n'avait ni livré de correctif ni émis d’avis sur la faille affectant Windows. « Cette vulnérabilité est particulièrement grave, car nous savons qu'elle est activement exploitée », a déclaré Google. Celle-ci permet à des pirates d'exploiter un bug dans le noyau Windows, via un appel système win32k.sys, qui leur permet de contourner la sandbox de sécurité.

Le 21 octobre, le géant de la recherche a prévenu Microsoft, en disant qu’il attendrait dix jours avant de rendre la faille publique, le temps pour Microsoft de régler le problème. Mais la politique de Google en matière de vulnérabilités est stricte : en général, le géant de Mountain View accorde sept jours seulement aux éditeurs pour publier un correctif ou émettre un avertissement au sujet d'une faille. « Le délai de sept jours est très serré et peut être trop court pour que certains éditeurs mettent à jour leurs produits », avait déclaré Google dans un blog en 2013. « Mais c’est un délai suffisant pour fournir des conseils sur les atténuations possibles ».

Une divulgation qui irrite Microsoft 

Microsoft a de nouveau très mal accueilli la décision de Google. « Nous pensons que la divulgation des vulnérabilités doit être coordonnée, et l’information publique faite par Google expose potentiellement les clients », a déclaré lundi par courriel la firme de Redmond. Ce n'est pas la première fois que les deux entreprises sont en désaccord sur la divulgation des vulnérabilités. « Même en suivant le calendrier imposé par Google, la décision semble moins répondre à des principes qu’à une sorte de vengeance, dont les utilisateurs peuvent être les premières victimes », avait répondu Microsoft à l'époque.

Brian Martin, directeur de Risk Based Security, et spécialiste en vulnérabilités, a déclaré qu’il était impossible pour Microsoft de mettre au point un correctif en sept jours. « Corriger une vulnérabilité dans Windows implique de résoudre aussi des problèmes dans plusieurs plates-formes de l'OS et s'assurer que le correctif ne perturbe aucun code existant », a-t-il expliqué. « C'est trop compliqué de faire ça en quelques jours », a affirmé Brian Martin. « Cependant, Google a raison en ce qui concerne l’information du public, dans la mesure où les pirates exploitent déjà la vulnérabilité », a-t-il ajouté. « Savoir combien de temps il faut accorder à l’éditeur est un vieux débat », a-t-il encore déclaré. « Mais, parce que la vulnérabilité était exploitée, cela oblige Microsoft à accélérer son calendrier ».

 

Google a déclaré que sous Windows 10, son navigateur Chrome empêchait le problème : il peut bloquer les appels systèmes win32k.sys en utilisant son propre bac à sable.