Le Tweet de Tavis Ormandy, un chercheur en sécurité travaillant pour le Projet Zéro de Google, a de quoi inquiéter. Il indique avoir découvert, avec sa collègue Natalie Silvanovich, “la pire faille de Windows de l’histoire récente” permettant d’exécuter un code à distance.
I think @natashenka and I just discovered the worst Windows remote code exec in recent memory. This is crazy bad. Report on the way. 🔥🔥🔥
— Tavis Ormandy (@taviso) May 6, 2017
Cette faille touche le moteur de protection contre les malwares (MMPE) qui fait partie du système de sécurité Windows Defender, présent dans le système d’exploitation de Microsoft depuis la version 7. A cause d’elle, un pirate peut déclencher l’exécution d’un code informatique sur la machine Windows de sa cible. Pire, un hacker pourrait profiter de cette faille pour créer un ver, autrement dit un malware capable de se dupliquer automatiquement de machine en machine.
Microsoft a heureusement colmaté la faille
Tavis Ormandy n’a pas donné d’autres détails sur la faille car Google laisse trois mois aux éditeurs pour réagir avant de publier des informations précises sur ses découvertes. Et Il n’a fallu que deux jours à Microsoft pour réagir avec la publication d’un correctif qui met à jour le moteur de protection contre les malwares de Windows. Le correctif sera installé automatiquement par Windows Defender si les mises à jour automatiques sont activées. Il concerne aussi d’autres produits de sécurité de Microsoft, par exemple Security Essentials, Endpoint Protection et Forefront Security for SharePoint.
Dans son bulletin de sécurité, Microsoft remercie Tavis Ormandy et Natalie Silvanovich. De son côté, Ormandy a publié un tweet saluant la réactivité du Microsoft Security Response Center (MSRC).
What an amazing response, thanks so much Simon and MSRC! That was incredible work.
— Tavis Ormandy (@taviso) May 9, 2017
Ce n’est pas la première fois que les chercheurs du Projet Zéro de Google découvrent des failles dans les logiciels de Microsoft et l’éditeur ne semble pas toujours apprécier la façon de procéder. En effet, Google donne 90 jours pour réagir, faute de quoi il publie sur son blog les informations détaillées des failles découvertes.
Au mois de février, Terry Myerson, vice-président en charge de Windows, estimait que ce procédé était « décevant » et soumettait les utilisateurs à un « risque accru ». D’autres critiques pointent également du doigt les tweets alarmistes envoyés par les chercheurs, ce à quoi Natalie Silvanovich a répliqué : « Si un tweet cause la panique ou la confusion dans votre organisation, le problème n’est pas le tweet, le problème est votre organisation ». Et toc.
Source : Engadget
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
