Dans un billet publié lundi, Google a dévoilé en partie les détails d’une faille critique dans Windows. Problème, cette publication s’est fait dix jours seulement après que Microsoft a été averti. L’éditeur de Windows a d’ailleurs critiqué le calendrier.
Google ne masque pas le fait que le temps de réaction laissé à Microsoft est assez court. Le billet indique que le père de Windows a été averti le 21 octobre, en même temps qu’Adobe. La faille du système ne peut être exploitée en effet qu’en utilisant une autre vulnérabilité, cette fois dans Flash. Cette dernière est bouchée et le correctif est disponible dans l’outil de mise à jour intégré dans le lecteur, ou via Chrome, qui a lui aussi reçu une nouvelle version.
La faille dans Windows n’est cependant pas corrigée, le délai de dix jours semblant assez court, surtout au vu de l’absence de détails supplémentaires. Google a d’ailleurs été obligé de rappeler la politique mise en place il y a trois ans, selon laquelle toute faille critique signalée depuis sept jours verrait ses informations publiées. Cependant, Google se justifie : non seulement Microsoft n’a pas publié de bulletin d’information à ce sujet, mais la faille est en fait déjà exploitée.
Une faille qui permet de s'extirper de la sandbox
Elle permet une escalade locale des privilèges au sein du noyau de Windows (toutes les versions sont touchées), avec pour principal intérêt de pouvoir s’échapper de la sandbox du système. Pour rappel, une sandbox – littéralement « bac à sable » - est un espace mémoire isolé au sein duquel un programme ou une page web est lancé. Ses accès sont limités et soigneusement contrôlés, permettant notamment de bloquer toute tentative de s’en prendre à un autre programme ou composant système. Pouvoir s’en échapper représente donc un vrai problème.
Plus précisément, la faille peut être appelée via la fonction NtSetWindowLongPtr() de win32k.sys. Dans le cas de Chrome, les appels système de win32k.sys sont bloqués en utilisant une technique disponible dans Windows 10, « win32 lockdown ». Cela, ajouté à la faille corrigée dans Flash, rend normalement toute exploitation impossible pour les utilisateurs de Chrome. Raison sans doute qui permet à Google d’évoquer la faille en « toute sécurité ».
Microsoft accuse Google de mettre les utilisateurs en danger
Microsoft, de son côté, n’est clairement pas ravi de la situation. L’éditeur a d’abord indiqué à VentureBeat que « la divulgation d’aujourd’hui met les utilisateurs en danger ». Ce qui est effectivement le cas : même si la faille est activement exploitée, les pirates qui ne connaissaient pas la brèche risquent fort de s’y pencher. D’un autre côté, tant que la faille dans Flash est bien colmatée, celle de Windows est en théorie inexploitable.
En outre, le responsable Terry Myerson, de chez Microsoft, a publié hier un billet donnant des informations sur la manière dont la faille Windows est actuellement utilisée. C’est à un groupe russe nommé Strontium (également appelé Fancy Bear) que l’on doit la campagne d’attaques qui l’accompagne. Cette dernière aboutit à l’installation d’une porte dérobée ouvrant alors de nombreuses possibilités.
On apprend également qu’une enquête a été ouverte conjointement avec Adobe et Google pour cerner de plus près l’exploitation et ses conséquences. Le correctif existe en fait déjà, mais est actuellement en cours de test chez les partenaires pour vérifier son fonctionnement. Voilà pourquoi il ne sera pas disponible avant le 8 novembre, date du prochain Patch Tuesday. Enfin, et c’est un point important, Myerson précise que si les utilisateurs ont activé l’Advanced Threat Protection dans Windows Defender (« Protection dans le cloud »), l’attaque sera détectée et bloquée, mais uniquement sous Windows 10.
Divulgation discrète ou de motivation
La publication du billet de Google relance cependant le débat sur les divulgations des détails sur les failles de sécurité. Ceux pointés par Google ne sont pas suffisants pour représenter une vraie marche à suivre, mais sont tout de même un indice clair sur la direction à suivre.
Microsoft a rappelé préférer les divulgations responsables d’informations, surtout quand ils ont trait à des failles jugées critiques puisque exploitables à distance. Par « responsables », l’éditeur entend tout simplement que ces informations resteront masquées tant que le correctif idoine n’aura pas été publié.
Commentaires (74)
#1
Toujours le même problème
La justification de Google peut s’entendre (“non seulement Microsoft n’a pas publié de bulletin d’information à ce sujet, mais la faille est en fait déjà exploitée”), même si c’est sûrement pas pour protéger les utilisateurs que Google a été bavard si rapidement
Je comprends pas pourquoi il est nécessaire d’avoir Flash. Si Windows a une faille, il suffit d’avoir un accès local non? (et ici c’est Flash qui permettrait l’exploitation distante)
#2
Je sais que c’est pas Vendredi mais… une sandbox dont on arrive à sortir c’est pas un peu paradoxal ?
Cet outil est conçu justement pour contenir les fuites…
#3
Et que s’appellorio : faille de sécurité
" />
" />
Une sandbox permet à un process de s’exécuter sans avoir le droit d’influencer le système hors de la sandbox. Mais si il y a une faille dans la sandbox on peut en sortir. Ca n’est pas un truc magique qui n’a jamais de faille de sécurité
Ca arrive, et c’est le cas ici, d’où la gravité de la faille.
#4
#5
C’est une faille utilisable par un navigateur internet + Flash.
L’une des façon dont elle a déjà été exploitée est par l’envoi de mail contenant des liens vers un site l’utilisant. La politique de Google est cohérente : connaitre une faille sans la corriger n’améliore pas la protection des utilisateurs.
Une semaine c’est court, mais quand c’est une faille critique et déjà utilisée, c’est un délai que Microsoft devrait être en mesure de respecter.
#6
#7
Le tout en Ubuntu snap, ça va de soi ! 
" />
#8
Perso, autant je comprend que si le dev ne fait pas d’effort de corriger la faille, la publier le met le dos au mur et le force à publier le correctif.
Quand le dev est proactif, qu’il a un correctif et le teste, c’est un peu “violent” de sortir la faille …
#9
Ils auraient pu attendre que la patch Tuesday soit passé pour divulguer cette faille. En effet, si à ce moment-là Microsoft n’avait rien corrigé ils méritaient d’être mis au pied du mur. Mais là, franchement, c’est plus que limite comme attitude.
#10
C’est aussi un moyen pour Google de promotionner Chrome.
“Regarder il y a une faille mais Chrome n’est pas impacter… Viender utiliser Chrome!”
7 jours c’est court, Adobe a réussi à colmater (ils sont les fautifs) mais un petit délais supplémentaire n’aurait pas été de trop je pense.
#11
On peut comprendre la déception de Microsoft, Google donnant de sérieuses pistes aux pirates pour identifier en détail et développer un outil pour exploiter la faille. C’est d’autant plus étonnant que Google ne suggère aucune solution, sinon… d’utiliser Chrome sous Windows 10.
Google paraît ici d’autant plus cavalier qu’il renvoie sur la documentation de son système de protection Win32 Renderer lockdown. Or, cette même documentation affirme qu’il faut jusqu’à six semaines aux équipes de Google pour corriger un bug dans ses propres noyaux Linux, dont Chrome OS :
Et il ne s’agit pas d’une ancienne documentation obsolète : elle a été mise-à-jour le 28 octobre 2016, soit une semaine après que Google ait découvert la faille relative à Flash et à Windows, et trois jours avant son annonce publique.
Si à son tour, Microsoft donnait sept jours à Android pour annoncer ou corriger les failles, Google risquerait de ne pas apprécier… (En parlant d’Android, si Google pouvait inviter Samsung à mettre à jour mon téléphone, ce serait bienvenu.)
#12
Google ne fait pas d’annonce si la faille est corrigée ou que l’entreprise fait une annonce.
Si Microsoft voulait moins de détails dans l’annonce, il avait qu’à la faire lui-même.
#13
Qu’il faille jusqu’à 6 semaines pour patcher le kernel ne signifie pas que si Google trouve une faille exploitée activement, ils mettront “forcément” 6 semaines pour le corriger …
#14
#15
Sachant que 99% du temps, il suffit de balancer de l’argent sur une faille pour qu’un correctif parfait apparaisse, ou qu’il suffit de mettre 100 fois plus de dev pour corriger une faille 100 fois plus vite, j’ai du mal à voir où tu veux en venir
" />
#16
Bah ils corrigeront sur la version courante, et ce seront les fabricants qui seront responsables de laisser 60% des appareils sans mise à jour parce que trop vieux
" />
#17
C’est le principe même de la sandboxe que d’isoler les événements donc oui…
" />
#18
Est-ce que ce n’est pas un peu problématique en soit de n’avoir des maj de sécurité seulement les mardis ? S’agirait d’être capable de déployer ces patchs de façon continue…
#19
Et sinon corriger les failles sur les smartphones android en circulation ? (je sais d’avance qu’on va me dire que Google n’y peut rien … )
#20
Le problème dans l’histoire, c’est que Google en divulgant la vulnérabilité n’aide pas les utilisateurs à s’en protéger hormis dire : Utiliser Chrome, il est sécure.
#21
Donc ils ne permettent pas de s’en protéger, sauf quand ils donnent une méthode pour s’en protéger ?
" />
#22
Flash est une faille de sécurité en lui même, et pourquoi on ne peut pas désinstaller cette merde de Edge dans Windows10?
" />
#23
Le problème est qu’on ne développe pas un correctif pour tous les Windows encore en service comme on développe un correctif pour un petit machin comme Chrome.
Donc les règles de Google… moins d’une semaine tout ca…. n’ont aucun sens …..
#24
Oui, mais bon. Que serait Google sans Microsoft ?
Un petit blocage accidentel de Chrome sous Windows pour 30 jours ramènerait Google dans une bonne perspective.
#25
Ce qui est, en fait, exactement ce que je dis
" />
#26
#27
La faille a déjà été corrigé coté Flash, donc si, divulguer la faille permet d’informer les utilisateurs de la nécessité de mettre à jour flash.
#28
Microsoft aurait dû avertir ses utilisateurs et suggérer une mesure palliative.
Google a bien fait de signaler le problème vu que la faille est déjà exploitée est est donc déjà utilisée pour attaquer les utilisateurs.
Ce que fait Microsoft ne compte même plus pour de la sécurité par l’obscurité, mais simplement de la négligence.
#29
Google veut peut être qu’on parle d’ANDROID ? la PASSOIRE non upgradable ?
#30
C’est Microsoft, donc ils doivent réagir à la vitesse de la lumière.
Non. Clairement non.
Google met de l’huile sur le feu.
#31
Comme j’ai dis deux commentaires plus haut : un correctif existe coté Flash et la faille est déjà exploitée. Il n’y a aucune raison d’attendre pour la rendre public, sauf pour soigner l’image de Microsoft.
Et je pense pas que flash réagisse spécialement à la vitesse de la lumière, pourtant ils ont bien réussi à faire un patch, d’où la raison de cette annonce publique.
#32
Venant d’une boîte qui est incapable d’obtenir de ses partenaires d’appliquer ses propres patchs de sécurité, je trouve que Google est un beau ramassis d’en.ulés….
Dernière mise à jour de sécu sur mon moto X : 1er décembre 2015……
Bravo gogol…..
#33
#34
#35
#36
Google ne peut rien faire pour les maj d’Android…
Pendant ce temps là, y’a des gens sur Windows 10 Mobile Insider qui reçoivent des updates toutes les 2⁄3 semaines…
Ah et d’apres le billet de MS : Edge était protégé depuis l’anniversary update..
#37
Cyanogen Mod, what else ?
" />
#38
Pas mal venant d’une firme qui a développé une faille de sécurité de notre vie privée à l’échelle planétaire.
#39
Combat de marchands de passoires.
#40
Allez troll du jour :
" />
J’ai découvert récemment un correctif de la faille de sécurité.
Allez dans panneau de configuration>programmes>désinstaller un programme, puis supprimez adobe flash
#41
“Google. Don’t be evil !”
Mais ca, c’était avant.
#42
#43
#44
#45
Des modo ont déjà été modérés, il faut juste le signaler … mais pas évident que ça moi qui modère le commentaire
" />
#46
Dire qu’Android est désastreux en terme de sécurité c’est comme dire que Linux n’est pas sécure parce que Free n’a pas déployé des patch sur la freebox.
Google fournis l’OS, il est adapté, modifié, customisé par les OEM et intégré dans leur téléphone.
les OEM sérieux ça existe, Blackberry est un parfait exemple, sinon passe sur les pixel.
Maintenant tout le monde se fout parfaitement du fait que les patch de sécurité ne sont pas appliqués sur les téléphones (les clients, comme les média), et c’est chiant, il faudra sans doute l’équivalent de Blaster sur Windows XP pour que ça change.
En attendant les Pixel sont le parfait exemple d’un bon téléphone qui aura les mises à jour dans les temps.
#47
#48
#49
Ouai bon c’est vrai que dit comme ça, c’était peu être pour faire un peu chier Microsoft aussi.
Je pense que c’est aussi pour mettre un coup de pression sur le fait de corriger les failles rapidement après qu’elles soient découvertes. Genre faire un exemple bien visible mais sans que ce soit trop grave puisque de l’autre coté c’est fixé, et qu’en même temps la faille est déjà connu par les Russes.
Mine de rien, si Google se pointe demain et te dis t’as une faille critique là, t’as une semaine pour corriger après on publie, tu vas les prendre au sérieux du coup.
#50
J;ai jamais vue microsoft sortir rapidement un fix pour une faille importante, même une 0day, microsoft prend sont temps et c’est dangereux mais ça n’égale pas Dell qui ne sort pus de mise a jours pour leur produit même si un nouvelle OS de windows sort un ans après l’arrêt des ventes d’un produit
Aussi quelqu’un peut montré a microsoft comment effectué des mise a jours vraiment silencieuse sans avoir a redémarré sont ordinateur chaque fois , mon pc de salon sous linux reçoit lui c’est mise a jours et j’ai pas besoin de le reboot a chaque mise a jours , même ceux du noyau et ils reste stable et sécuritaire
#51
Ils auraient aussi pu le faire en chanson, style Ménélik, avec du gros son :
“Je te le dis y a faille bébé, sinon je l’annoncerais faillefaille !” ->[]
#52
Alors tu n’as jamais travaillé en entreprise en relation directe avec Microsoft. J’ai déjà participé aux specs de deux fix (un pour TS Gateway et l’autre pour UAG) suite à la découverte de comportement problématique.
Ouverture d’un ticket
Prise en charge
Etude
Fix (qui a été intégré dans le CU du mois suivant et communiqué aux partners)
Le tout en 6 jours.
Me semble pas que ce soit beaucoup vu les tailles des produits en question.
#53
Tu peux le désactiver, ça revient au même. Perso, Flash n’est plus activé nulle part chez moi, et je ne rencontre jamais de problème.
#54
Va plutôt te plaindre à ton constructeur
#55
#56
Google fait exactement pour Androïd ce qu’il a fait ici : il publie la faille même si les constructeurs n’ont pas répercuté sa correction sur leurs smartphones.
La différence est que ces constructeurs ne pleurnichent pas comme le fait Microsoft. En fait, ils s’en foutent, je pense.
#57
#58
#59
Pas mieux. Sony est également assez sérieux de ce point de vue la.
Une chose toutefois que peut rendre al vie très compliquée pour les intégrateurs : les fournisseurs de chip ARM qui peuvent décider du jour au lendemain de ne plus fournir de drivers pour leurs chips pour les nouvelles versions d’Andrpïd. Qualcomm en tête pour Nougat et les Snapdragon 801 (pas merci Qualcomm sur ce couip-la).
Contrairement au monde x86, il n’y a aucun vrai standard (même de fait), donc impossible de faire un OS générique, faut tout recompiler …
#60
#61
#62
Il faut quand même différencier 2 “updates” : les patch de sécurité et les mises à jour “de version”.
un OEM ne devrait pas avoir besoin du constructeur de SOC pour appliquer une mise à jour de sécurité.
#63
Tu es serieux ?
" />
" />) ?
" />
tu connais beaucoup d’OS qui ne sont “jamais” tombé à un concours pown2own (et qui étaient en jeu … on parle pas de multidesk OK
En plus tu en parles sur une news avec une faille de sécurité dans Windows qui est exploitée actuellement
Et encore une fois, je le dit clairement, la manière dont les constructeurs gérent la sécurité d’android va leur péter à la gueule, et je serai le 1er à soutenir une action collective contre les OEM pour la négligence dont ils font preuve.
#64
#65
alors oui, si c’est un bug dans le driver, il faut que le constructeur fournisse le driver patch en effet (et il y en a eut pas mal sur les SOC qualcomm récemment … faut dire aussi qu’ils sont un peu partout
" />).
Mais vu qu’on en entend parler par le biais des “patch mensuel” de Google, ça siginifie que le correctif est dispo et appliquable par l’OEM.
#66
Tu viens redire plus ou moins ce que j’ai dis.
#67
On est d’accord sur le fait qu’en profiter pour promouvoir Chrome, ça fait clairement tâche.
Pour le reste, bien fait pour Microsoft si ils passent pour des branlos, c’est exactement ce qu’ils sont dans ce cas.
Autant si aucun correctif n’était disponible, j’aurais pu en vouloir à Google, autant là comme il est déjà possible de patcher Flash, je trouve qu’ils ont eu entièrement raison.
On parle quand même du faille utilisée par au moins un groupe Russe lié aux services de renseignement, les piratages réalisés grâce a cette faille ont clairement influencés les élections présidentiels, rien que ça ! Alors la réponse de Microsoft “non mais on s’en occupera lors du prochain patch mensuel, d’ici là bonne chance” n’est vraiment pas terrible.
#68
Encore un qui croit qu’augmenter le nombre de développeurs fait aller plus vite…
Non, ça n’est pas le cas, ça devient même l’inverse si on en ajoute trop !
De plus, le patch est disponible chez Microsoft, mais autant Adobe peut balancer une mise à jour de Flash sans faire des tonnes de tests, ça n’est pas bien grave s’il y a un problème, autant Microsoft ne peut et ne doit surtout pas balancer une mise à jour (qui plus est noyau sans doute) sans faire des tonnes de tests, ce qui prend du temps !
#69
#70
Aaah Google … don’t be devil, be stupid … serait il devenu a ce point mauvais joueur ?