Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Microsoft fustige Google pour les détails publics d'une faille corrigée demain

48 heures plus tard
Logiciel 3 min
Microsoft fustige Google pour les détails publics d'une faille corrigée demain
Crédits : Federico Caputo/iStock/ThinkStock

Coup de griffe : Microsoft a ouvertement critiqué Google pour avoir publié des informations sur une faille deux jours avant que le correctif ne soit disponible. Alors que Redmond rappelle qu’une concertation est nécessaire pour gérer les brèches, Google se défend de son côté en rappelant qu’elle en publie toujours les détails trois mois après leur découverte.

Les détails d'une faille révélés deux jours avant la publication du correctif

Microsoft et Google ont des politiques parfois incompatibles au sujet des failles. La firme de Mountain View dispose d’une équipe efficace de chercheurs en sécurité, souvent remerciés par la concurrence, y compris par Microsoft. Mais cette dernière est agacée : dans un billet publié hier, l’un des responsables de la sécurité, Chris Betz, critique Google pour avoir publié aux yeux de tous les détails d’une faille qui sera corrigée demain.

Pourquoi un tel empressement ? Parce que Google dispose d’une politique relativement stricte en la matière, le Project Zero. L’énoncé en est simple : les détails d’une faille seront publiés 90 jours après que l’éditeur concerné a été averti de la situation. Dans le cas présent, Microsoft a été averti le 11 octobre dernier, situant la date limite au 11 janvier, hier donc. Les détails de la faille sont alors devenus publics, provoquant la colère de Microsoft. Mais Google s’était déjà défendu lors d’un cas similaire en décembre dernier après trois mois de discussion.

Aucun avantage à une telle publication pour Microsoft

Chris Betz a donc exposé la vision de l’éditeur sur ce type de pratique, critiquant un calendrier aveugle : la politique des 90 jours est ce qu’elle est, mais pourquoi fallait-il absolument publier ces détails deux jours avant le correctif ? Pour Betz, il n’y a qu’une seule explication possible, Google ayant voulu jouer la carte « On vous a eus ! » plutôt que de jouer celle de la responsabilité.

La vision de Microsoft sur le sujet est clairement antagoniste. Il ne peut ainsi y avoir de publication des détails sans aucun contexte, ce qui est justement le résultat du Project Zero. Selon Chris Betz, de telles informations ne font qu’augmenter le danger et Google a tort de croire que les travaux s’en retrouveront non seulement accélérés, mais également que les utilisateurs seront mieux protégés. Comment ? Parce qu’ils seront avertis et prendront les mesures qui s’imposent.

C’est précisément là que Betz insiste : les utilisateurs ne sont en aucun cas mieux protégés, au contraire. Et la preuve en est évidente car quantifiable. Ainsi, selon des analyses internes, il n’y a pratiquement pas d’exploitation des failles révélées en privé, à l’inverse de celles qui deviennent publiques. Il est vrai d’ailleurs que l’immense majorité des utilisateurs n’a que faire de ce type d’informations et n’a que peu conscience des problématiques de sécurité. En outre, comme l’indique Betz, les détails de ces failles peuvent profiter aux pirates, tout en ne comportant aucune instruction pour les utilisateurs. Sans guide ou recommandations, comment se préparer à l’éventualité d’une attaque ?

Simple question de philosophie ou petit coup de griffe ?

Microsoft est en fait une fervente partisane de la méthode « Coordinated Vulnerability Disclosure ». Là encore, le principe est simple : les différents acteurs impliqués dans la chaine de sécurité communiquent de manière privée, et aucune information publique ne peut être donnée tant que le correctif n’est pas disponible. Le temps n’est donc pas un critère. Il y a cependant une exception : la découverte d’une exploitation de la faille pendant que l’éditeur travaille sur le correctif, auquel cas les détails deviennent publics, accompagnés de mesures de réduction des risques (« mitigation »).

Les deux firmes ont donc une vision opposée de la responsabilité envers les utilisateurs, mais la solution ne serait-elle pas quelque part à mi-chemin entre ces deux visions ? Par exemple, rendre les communications privées pour éviter que les pirates n’en profitent, tout en définissant un délai plus long au-delà duquel il serait évident que l’éditeur doit être « motivé ». 

78 commentaires
Avatar de Cwoissant INpactien
Avatar de CwoissantCwoissant- 12/01/15 à 13:08:46

Plutôt du côté de Microsoft sur ce coup.
Il est un peu utopique de penser qu'un utilisateur va aller lire un billet publié par Google concernant les failles découvertes sur Windows.
Au delà même de le lire, je doute que, même si le billet était largement relayé, plus de 5% des utilisateurs Windows prennent la peine de désactiver temporairement tel ou tel service vulnérable le temps qu'un correctif soit dispo.
Après les règles sont les règles, on connait la politique de Google et de leur publications à m+3, mais à deux jours près...

Avatar de FunnyD INpactien
Avatar de FunnyDFunnyD- 12/01/15 à 13:10:42

Vincent a écrit :

Par exemple, rendre les communications privées pour éviter que les pirates n’en profitent, tout en définissant un délai plus long au-delà duquel il serait évident que l’éditeur doit être « motivé ».

Mais n'est ce pas déja le cas? Le délai de 3 mois n'est il pas assez long? Ou alors certaines failles seraient elles si complexes, qu'il pourrait y avoir besoin d'une ralonge pour les combler?

Avatar de shadowfox INpactien
Avatar de shadowfoxshadowfox- 12/01/15 à 13:11:34

Je suis plutôt d'accord avec MS pour le coup. Surtout que les utilisateurs lambda des fois ne font pas les MAJ des failles connues (parce qu'ils n'y comprennent rien et parce que ça les gonflent).

C'est pas afficher le contenu de la faille en faisant "ha vous aviez qu'à vous bouger les fesses" qui va arranger la situation surtout à deux jours près... MS n'aurait même pas pris la peine de corriger la faille, je dis pas. Mais là, la correction doit être poussée sous peu, le comportement de Google est débile.

Avatar de Aznox INpactien
Avatar de AznoxAznox- 12/01/15 à 13:12:25

La première règle en matière de sécurité est de ne pas faire d’exception aux procédures. 

Cependant la procédure de google est peut-être à revoir.

Édité par Aznox le 12/01/2015 à 13:13
Avatar de calvin01 INpactien
Avatar de calvin01calvin01- 12/01/15 à 13:12:38

Je ne sais pas si trois mois c'est suffisant pour corriger tous les types de faille, mais je trouve ça bien de respecter un calendrier de la sorte. Ça met un coup de pression sur les éditeurs qui traînent parfois à combler les failles de leurs systèmes alors qu'ils ont été signaler depuis longtemps.

C'est plus le temps laissé par google qu'il faut juger en fait, et là j'ai du mal à me faire un idée.

S'ils acceptaient une demande pour repousser la publication alors tout le monde pourrait le faire, autant repousser le délais alors. 

Édité par calvin01 le 12/01/2015 à 13:14
Avatar de shadowfox INpactien
Avatar de shadowfoxshadowfox- 12/01/15 à 13:15:01

FunnyD a écrit :

Mais n'est ce pas déja le cas? Le délai de 3 mois n'est il pas assez long? Ou alors certaines failles seraient elles si complexes, qu'il pourrait y avoir besoin d'une ralonge pour les combler?

 

Au plus une entreprise est grosse, au plus un soft, un OS, ou autre est compliqué, au plus il y a d'étapes administratives et de processus de validation. Je pense que les délais sont là pour ça. Il faut aussi pousser une MAJ sans flinguer l'existant, donc il faut tester pour vérifier l'absence de régression (MS a eu le problème il y a pas longtemps avec une MAJ foireuse). Bref, si tu veux faire les choses correctement, ça bouffe du temps.

Entre corriger le problème, tester que ça marche, tester que tu n'as rien cassé avec la maj, plus les différentes étapes de validation, je veux bien croire que 3 mois passent vite.

Édité par shadowfox le 12/01/2015 à 13:15
Avatar de manus Abonné
Avatar de manusmanus- 12/01/15 à 13:15:56

Ce qui est anormal et inadmissible, c'est de diffuser une faille de manière publique sans proposée de solution!!!!

Avatar de Khalev Abonné
Avatar de KhalevKhalev- 12/01/15 à 13:20:11

FunnyD a écrit :

Mais n'est ce pas déja le cas? Le délai de 3 mois n'est il pas assez long? Ou alors certaines failles seraient elles si complexes, qu'il pourrait y avoir besoin d'une ralonge pour les combler?

Mais si ça se trouve le correctif est prêt depuis 1 mois, c'est juste que MS a un calendrier très précis de ses sorties. 1 jour de décalage sur une déclaration de faille peut faire que son correctif sera retardé d'un mois chez MS.

Entre demander à MS de modifier son calendrier de patch ou de sortir un patch en solo, et à Google de retarder de 2 jours la publication de sa faille, c'est pour Google que ça avait le moins d'INpact.

Avatar de Cwoissant INpactien
Avatar de CwoissantCwoissant- 12/01/15 à 13:20:15

calvin01 a écrit :

Je ne sais pas si trois mois c'est suffisant pour corriger tous les types de faille, mais je trouve ça bien de respecter un calendrier de la sorte. Ça met un coup de pression sur les éditeurs qui traînent parfois à combler les failles de leurs systèmes alors qu'ils ont été signaler depuis longtemps.

C'est plus le temps laissé par google qu'il faut juger en fait, et là j'ai du mal à me faire un idée.

S'ils acceptaient une demande pour repousser la publication alors tout le monde pourrait le faire, autant repousser le délais alors. 

Objectivement je trouve que Microsoft gère pas mal au niveau du déploiement de patch. Certaines failles sont plus complexes que d'autres à résoudre j'imagine et 3 mois c'est parfois short pour tout combler en parallèle. Parfois une faille bien plus critique est découverte et on privilégie celle là plutôt que la mineure qui a été découverte il y a 2 mois et 20 jours.

Mais bon, deux jours plutôt ou pas, je pense sincèrement pas que ça change quoi que ce soit, ceux qui font les mises à jours ne seront surement pas impactés, ceux qui ne les font pas se mangeront surement des attaques, que ce soit ce mois ci ou le mois suivant.

Quand on voit Apple qui laisse trainer de loooongs mois certaines failles critique. Si je me souviens bien la faille sur iCloud qui permettait de bruteforcer la connexion sans jamais se faire rejeter par le serveur d’authentification, faille soupçonnée d'avoir été exploitée lors du hack des photos des célébrités, avait été signalée il y a des lustres.
Donc je pense pas qu'on puisse reprocher à Microsoft grand chose sur ce point.

Avatar de Quentindirt Abonné
Avatar de QuentindirtQuentindirt- 12/01/15 à 13:22:27

Ils n'ont pas les ressources nécessaires pour corrigés les failles rapportées depuis 90 jours chez Microsoft :transpi:?
 
Enfin surtout ce n'est que le mardi que le correctif est publié chez Microsoft...:bravo:

Il n'est plus possible de commenter cette actualité.
Page 1 / 8