Passer au contenu

Windows: Google publie une faille zero-day que Microsoft n’a pas encore corrigée

Une fois de plus, l’éditeur de Redmond se retrouve épinglé par les experts en sécurité de Google. Ce qui n’est pas réjouissant pour les utilisateurs.

L’ambiance doit être tendue au sein des équipes Windows de Microsoft. Les experts en sécurité de Google Project Zero viennent de publier tous les détails techniques d’une faille zero-day dans Windows qui permet à un attaquant d’accéder à la mémoire d’une machine – en local ou à distance –par l’intermédiaire d’un fichier EMF (Enhanced MetaFile) piégé. Celui-ci pourrait d’ailleurs se trouver camouflé au sein d’un fichier Office, rendant la détection de l’attaque d’autant plus difficile. Google a même publié un exemple de code d’exploitation. Cette faille concerne toutes les versions Windows supérieures à Vista Service Pack 2.

Pas de patch pendant un mois

Le hic, c’est qu’il n’existe pas à ce jour de patch, ni même de solution de contournement pour ce problème. Les ingénieurs de Google ont agi conformément à leur charte de publication. Ainsi, les éditeurs sont systématiquement alertés sur les failles zero-day trouvées dans leurs produits. Si au bout de trois mois, aucun correctif n’est mis à disposition, les vulnérabilités sont rendues publiques. C’est une question de principe.

Dans le cas présent, Microsoft avait même presque un an pour trouver une solution, car ce bug a déjà été notifié en… mars 2016. L’éditeur de Redmond avait fourni un patch en juin 2016, mais celui-ci c’est révélé incomplet. Google a donc relancé une procédure de notification en novembre 2016 dont le deadline a désormais été atteinte.

Il est possible que Microsoft ait intégré son correctif dans le Patch Tuesday de février, ce qui lui aurait permis de rester dans les clous. Malheureusement, il a dû annuler cette fournée de patchs en raison d’un « problème de dernière minute ». Quoi qu’il en soit, les utilisateurs se retrouvent désormais à la merci d’éventuels pirates pendant au moins un mois. Ce qui n’est pas réjouissant.

Deux approches différentes de la sécurité

Ce n’est pas la première fois que Microsoft se retrouve ainsi épinglé par Google. En novembre dernier, le géant du web avait déjà publié une faille zero-day dans le kernel de Windows. Il n’avait alors donné que sept jours à l’éditeur pour trouver un correctif, car cette vulnérabilité était déjà exploitée de manière active par les pirates du groupe APT28. Là encore, Google ne fait qu’appliquer les principes de sa charte de publication.

Inutile de dire que Microsoft n’a pas du tout apprécié d’être mis comme cela devant le fait accompli. Dans une note de blog, Terry Myerson, vice-président en charge de Windows, a estimé que cette façon de faire était « décevante » et soumettait les utilisateurs à un « risque accru ». L’éditeur aurait préféré une action « coordonnée » pour la révélation de cette faille. De son côté, Google estime que la révélation de failles zero-day contribuait aussi à la sécurité des utilisateurs, et qu’il n’y a pas de temps à perdre si elles sont déjà exploitées par des pirates. C’est un débat sans fin.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN