Coup de griffe : Microsoft a ouvertement critiqué Google pour avoir publié des informations sur une faille deux jours avant que le correctif ne soit disponible. Alors que Redmond rappelle qu’une concertation est nécessaire pour gérer les brèches, Google se défend de son côté en rappelant qu’elle en publie toujours les détails trois mois après leur découverte.
Les détails d'une faille révélés deux jours avant la publication du correctif
Microsoft et Google ont des politiques parfois incompatibles au sujet des failles. La firme de Mountain View dispose d’une équipe efficace de chercheurs en sécurité, souvent remerciés par la concurrence, y compris par Microsoft. Mais cette dernière est agacée : dans un billet publié hier, l’un des responsables de la sécurité, Chris Betz, critique Google pour avoir publié aux yeux de tous les détails d’une faille qui sera corrigée demain.
Pourquoi un tel empressement ? Parce que Google dispose d’une politique relativement stricte en la matière, le Project Zero. L’énoncé en est simple : les détails d’une faille seront publiés 90 jours après que l’éditeur concerné a été averti de la situation. Dans le cas présent, Microsoft a été averti le 11 octobre dernier, situant la date limite au 11 janvier, hier donc. Les détails de la faille sont alors devenus publics, provoquant la colère de Microsoft. Mais Google s’était déjà défendu lors d’un cas similaire en décembre dernier après trois mois de discussion.
Aucun avantage à une telle publication pour Microsoft
Chris Betz a donc exposé la vision de l’éditeur sur ce type de pratique, critiquant un calendrier aveugle : la politique des 90 jours est ce qu’elle est, mais pourquoi fallait-il absolument publier ces détails deux jours avant le correctif ? Pour Betz, il n’y a qu’une seule explication possible, Google ayant voulu jouer la carte « On vous a eus ! » plutôt que de jouer celle de la responsabilité.
La vision de Microsoft sur le sujet est clairement antagoniste. Il ne peut ainsi y avoir de publication des détails sans aucun contexte, ce qui est justement le résultat du Project Zero. Selon Chris Betz, de telles informations ne font qu’augmenter le danger et Google a tort de croire que les travaux s’en retrouveront non seulement accélérés, mais également que les utilisateurs seront mieux protégés. Comment ? Parce qu’ils seront avertis et prendront les mesures qui s’imposent.
C’est précisément là que Betz insiste : les utilisateurs ne sont en aucun cas mieux protégés, au contraire. Et la preuve en est évidente car quantifiable. Ainsi, selon des analyses internes, il n’y a pratiquement pas d’exploitation des failles révélées en privé, à l’inverse de celles qui deviennent publiques. Il est vrai d’ailleurs que l’immense majorité des utilisateurs n’a que faire de ce type d’informations et n’a que peu conscience des problématiques de sécurité. En outre, comme l’indique Betz, les détails de ces failles peuvent profiter aux pirates, tout en ne comportant aucune instruction pour les utilisateurs. Sans guide ou recommandations, comment se préparer à l’éventualité d’une attaque ?
Simple question de philosophie ou petit coup de griffe ?
Microsoft est en fait une fervente partisane de la méthode « Coordinated Vulnerability Disclosure ». Là encore, le principe est simple : les différents acteurs impliqués dans la chaine de sécurité communiquent de manière privée, et aucune information publique ne peut être donnée tant que le correctif n’est pas disponible. Le temps n’est donc pas un critère. Il y a cependant une exception : la découverte d’une exploitation de la faille pendant que l’éditeur travaille sur le correctif, auquel cas les détails deviennent publics, accompagnés de mesures de réduction des risques (« mitigation »).
Les deux firmes ont donc une vision opposée de la responsabilité envers les utilisateurs, mais la solution ne serait-elle pas quelque part à mi-chemin entre ces deux visions ? Par exemple, rendre les communications privées pour éviter que les pirates n’en profitent, tout en définissant un délai plus long au-delà duquel il serait évident que l’éditeur doit être « motivé ».