Google vient à nouveau de dévoiler les détails d’une faille de sécurité dans Windows. Comme les fois précédentes, le Project Zero en détaille le fonctionnement, Microsoft n’ayant pas réagi durant le délai de 90 jours. C’est la troisième fois depuis le début de février.
Le Project Zero de Google réunit un certain nombre d’employés de l’entreprise, dont la mission est de débusquer et signaler les failles aux éditeurs concernés. Le règlement, bien qu’assoupli il y a quelques mois, reste strict : une entreprise a 90 jours pour réagir à la remontée faite par Google, sans quoi les détails seront publiés, éventuellement accompagnés d’un prototype d’exploitation.
Troisième fois en moins d'un mois
Sur le seul début d’année 2017, le Project Zero a déjà publié deux fois les détails de brèches signalées à Microsoft, qui n’a pas réagi dans les temps. Il faut en ajouter une troisième : après SMB et la GDI, place à Internet Explorer 11 et Edge.
Les deux navigateurs sont touchés par une vulnérabilité (CVE-2017-0037) qui peut entrainer un plantage, ouvrant la voie à une potentielle attaque à distance, dont le résultat serait une élévation des privilèges. Le chercheur ayant découvert le problème, Ivan Fratric, parle de « confusion des types ». Une page web spécialement conçue (code spécifique dans les CSS et le JavaScript), pourrait aboutir à une exécution de code à distance.
La dangerosité de la faille n’est pas directement abordée, mais tout porte à croire qu’elle est élevée puisqu’il y aurait exécution d’instructions distantes, sans que l’utilisateur n’ait à valider quoi que ce soit. Et malheureusement pour Microsoft, les explications d’Ivan Fratric sont accompagnées d’un prototype d’exploitation.
Tous les utilisateurs sous Windows 7, 8.1 et 10
Microsoft n’a pour l’instant pas réagi à la publication de ces informations, mais le danger est concret. On ne sait pas si l’éditeur prépare un correctif ou l’a déjà, un problème technique ayant repoussé l’intégralité des bulletins de février à mars. Comme pour la faille précédente, la solution était peut-être prête, mais il faudra attendre dans tous les cas le 14 mars pour que les prochains pansements numériques soient appliqués.
Le danger est d’autant plus sérieux que durant cet intervalle, les pirates potentiellement intéressés par cette vulnérabilité disposent désormais de tous les détails et d’un code d’exploitation fonctionnel leur montrant la voie. En outre, toutes les versions 32 et 64 bits d’Internet Explorer 11 et Edge sont affectées. Autrement dit, tous les utilisateurs sous Windows 7, 8.1 et 10 sont touchés.
Le règlement est clair, mais...
Il est probable que Microsoft s’agace de cette situation, puisque c’est la troisième fois en moins de trois semaines que le Project Zero publie les détails de failles non-corrigées, donc 0-day. Cela étant, la politique de Google sur tout ce qui est trouvé par ce groupe est limpide. Dans le cas présent, la faille a été remontée à Microsoft le 25 novembre. Puisque aucun correctif n’était disponible le 25 février, la procédure a suivi son cours.
Il est probable que cette série de publications relance le débat sur la manière dont les failles sont divulguées aux éditeurs. Pour Microsoft, elle doit être systématiquement « responsable », c’est-à-dire privée, pour éviter qu’une attaque apparaisse avant le correctif (la faille peut être plus ou moins complexe à colmater). D’autres militent au contraire pour une transparence totale. Le Project Zero de Google se situe finalement entre les deux, mais sans explications supplémentaires de Microsoft, on ne saura pas pourquoi un tel silence dans le temps imparti.
En attendant, la solution pour les utilisateurs n’est guère complexe : utiliser un autre navigateur le temps que le problème soit résolu, et éviter de cliquer sur des liens externes provenant de sources « louches ».
Commentaires (87)
#1
“utiliser un autre navigateur le temps que le problème soit résolu”
" />
Ouf c’est déjà le cas.
#2
Sur le seul début d’année 2017, le Project Zero a déjà publié deux fois les détails de brèches signalées à Microsoft, qui n’a pas réagi dans les temps
“Réagir” c’est quoi?
D’après la fin de l’article on dirait qu’ils n’ont même pas répondu à Google, dans ce cas ils le cherchent…
Si c’est l’inverse et qu’ils ont demandé à Google d’allonger le délai de 90 jours alors c’est moche, mais bon la fin justifie les moyens pour pousser Chrome…
#3
Leurs “projet zéro” annonces les failles d’android aussi ou ils se concentrene seulement et bizarrement que sur la concurrence ?
#4
Y a réellement des gens qui utilisent Internet Explorer ? Encore edge je dis pas mais IE pour un particulier… Par contre en entreprise ou administration IE est encore très présent.
😕
#5
Tu y étais presque :
" />
“[…] , mais bon la fin justifie les moyens pour pousser Chrome OS…”
Au-delà du fait que les failles identifiées se situent au niveau des navigateurs de Microsoft, je pense que cette communication vise plus globalement à dé-crédibiliser MS et sa capacité à proposer des environnements sécurisés à ses utilisateurs.
Je ne serais pas étonné de voir Google entrer dans une campagne visant à vanter les mérites de Chrome OS dans les prochains mois.
#6
Tout ce qu’ils trouvent. En ce moment, sur les 6 failles ouvertes, il y en a 2 visant Android et une visant Chrome.
#7
les failles d’android sont en général bouchées…
" />
… Sauf sur les 99,999% des produits qui doivent passer par le constructeur et l’opérateur et n’en voient jamais la couleur
#8
Un jours ou l’autre il y aura un procès, car les victimes seront dans tous les cas des utilisateurs qui n’ont rien demandé, et en fournissant un exemple de code, Google deviendras complice.
Politique de Google ou pas la loi est clair concernant l’intrusion et le maintien non autorisé dans un système informatique.
#9
#10
Oui mais avec des moyens fourni par Google
#11
Je me demande combien de fois cette image d’illustration a ete utilisee, j’ai l’impression de la voir toutes les 2 semaines.
#12
Je comprend pas pourquoi Google a un Projet qui chercher des bug chez M$, ils n’ont pas assez de taf chez eux ?
#13
#14
#15
Et si tu vends des couteaux, tu es responsable de l’usage qui en est fait…
En fait non…
Il faut peut-être mettre un petit mot “prière de ne pas utiliser pour un usage illicite sur le couteau et le code d’injection SQL?” parce que c’est très efficace…
#16
La sécurité des produits/services Google dépend de la sécurité de la plateforme sur laquelle ces produits et services tournent.
Inutile de dépenser des milliards pour sécuriser Chrome si a la base l’OS est vérolé de partout.
#17
#18
He be … ils sont réactif chez microsoft …
" />
" />
On croirait avoir affaire a un transporteur avec qui on travail et dont je ne citerais pas le nom !
#19
et utiliser un autre OS par la même occasion….
#20
lol.
" />
renseigne-toi un peu sur le sujet.
#21
Oui, mais ça peut poser des problèmes dans certaines entreprises avec postes de travail “contraints”, sans autre navigateur dispo et aucune autorisation pour en utiliser un autre.
#22
Oui, mais on est en France, et si je parle de mettre des trucs dans la notice, c’est précisément un clin d’oeil aux ricains où tout le monde se rappelle du coup du micro-ondes ou du camping-car dont la notice dit de ne pas quitter le poste de pilotage ou du couvercle des boissons chaudes qui dit que les boissons sont chaudes…
#23
C’était pas abandonné Chrome OS ?
#24
#25
#26
#27
ah oui, pardon, ton intervention étant effectivement justifiée, argumentée et très instructive, j’aurais du pousser le raisonnement.
mais va savoir pourquoi, j’ai été pris d’un accès de flemme aigüe.
#28
il me semble que c’est totalement le contraire.
#29
c’est tout à fait la cible, effectivement.
#30
#31
En même temps, est-ce que l’image importe vraiment ?
#32
Et 1… Et 2… Et 3-0.
" />
#33
#34
Légende urbaine que ce chat
(par contre, l’exemple cité plus loin du café qui brûle, c’est avéré)
#35
Non, je pense que des gens ont réellement mis leurs chats dans le micro onde pour les sécher. Y a déjà eu le cas dans un sèche-linge.
😮
#36
Le dernier score qui fait parler, c’est 5-1.
#37
trop facile
" />
(moi j’ai pas digéré)
#38
#39
#40
j’ai envie de te dire: à question con, réponse con, non?
" />
tu crois vraiment que Project Zero ne cherche que des failles chez MS et pas chez Google?
ou tu sais juste pas ce que c’est?
#41
#42
disons que ça peut fortement pousser l’éditeur responsable de la faille à la colmater.
" />
ou pas.
#43
chez nous c’est plutôt les gamins dans le sèche-linge.
" />
et le résultat est le même.
on rigole des yankee avec ces histoires, mais pour le coup on a aussi des cons chez nous.
#44
#45
#46
Ça tourne sous quoi un ChromeBook d’après toi ?
" />
http://www.google.fr/chromebook/
#47
Sinon, ces histoires de procès US c’est comme les perles du bac, 99% sont fakes mais c’est pas grave ça se propage quand même
#48
Tant que tu y es, tu aurais dû dire cherche moi ça avec Google.
" />
#49
#50
#51
Moi qui n’affiche pas ces images parce que je les trouve tartes et qu’elles m’empêchent de lire l’article sans scroller, je ne sais donc pas de quoi parle l’article au premier coup d’œil ?
Et bien si, tout ça parce que je lis le titre avant même d’afficher l’article et de pouvoir voir l’image.
#52
La faille de sécurité, c’est Microsoft qui la fournit, pas Google.
" />
Google pointe juste le fait qu’elle existe. Un hackeur peut trouver cette faille sans l’aide de Google. Par contre il ne peut pas la trouver si Microsoft ne l’a pas introduit dans son produit.
#53
#54
Les cours de chimie au lycée ça sert à rien non plus et ça apprend aux gens des réactions chimiques dangereuses, mais c’est pédagogique. Pour moi, c’est un peu la même chose, en révélant une faille, tu peux aider d’autres développeurs qui auraient commis une erreur du même genre.
La menace de dévoiler une faille c’est la seule chose qui fera bouger les sociétés réfractaires.
C’est une question de notoriété que d’avoir peu d’actualités sur les failles de ses applications.
J’espère qu’il y a une procédure prévue pour demander un allongement du délai, comme ça ceux qui s’intéressent à la correction de la faille mais manquent de temps et/ou de ressources pour la colmater mais essaient de le faire ne soient pas mis dans le pétrin. Mais MS n’a rien répondu, partant de là, c’est quand même leur faute.
#55
Crosoft, à la hauteur de nos attentes !
" />
#56
Je rajouterais pour ma part que je ne sais pas en fait si aux US on a une obligation de correction des failles. Par contre, on a bien la notion de complicité (ici fournir les moyens techniques).
Donc je ne suis pas sûr que Google soit si blindé que ça en cas de procès.
#57
Comme je dis, pas sûr, il faudrait qu’il y ait une loi pour interdire les failles, et en imposer la correction, pour que Microsoft soit attaquable là dessus.
Par contre, le fait de divulguer des détails sur les moyens de réaliser l’attaque, c’est une autre paires de manches. Et la finalité de l’action (forcer l’éditeur à corriger), ne pourra en rien dédouaner des dommages causés par la divulgations.
Après faut prouver que les attaquants n’étaient pas au courant de la faille avant, mais si ils sont attrapés, et qu’ils ont bien bénéficié de la divulgation, tu as ton lien.
#58
#59
Un jour ils vont vraiment balancer une bombe qui sera exploitée, c’est irresponsable d’un côté de jeter le code au tout venant et de l’autre de ne pas corriger la faille…
Après j’ai envie de dire, c’est IE et Edge… Euh… Lol ?
#60
#61
Pour ceux qui râle car Google diffuse publiquement des bugs Microsoft, je vous rappelle que c’est des gars de la même équipe de Google qui ont détecté la faille côté Cloudflare.
Ils ont utilisé exactement le même processus et le bug a été stoppé en quelques heures (en désactivant certaine fonctions) et un patch a été déployé quelques jours plus tard (2 jours) pour colmater définitivement le problème, les moteurs de recherches nettoyés et seulement ensuite le problème divulgué publiquement…
https://www.nextinpact.com/news/103421-cloudbleed-importante-fuite-donnees-chez-…
Donc si Microsoft n’a pas une équipe réellement mobilisée capable de déployer un correctif en moins de 90 jours, on a du souci à se faire en cas de faille encore plus grosse impactant notre capacité à utiliser notre ordinateur.
#62
#63
Interdire les failles lol ce qu’il ne faut pas entendre, tout les softs ont des failles elles sont inhérentes au fonctionnement même des softs. Pour régler le problème il faudrait sécuriser les fonctions présentes dans le langage C, puis C++, abandonné complètement la mémoire partagée, codé uniquement avec des langages du genre S# et compilé via des compilos style Bartok, avoir des SIP isolé etc.. Problème concevoir un tel os ou noyau est possible Microsoft l’a fait, mais ce n’est compatible avec rien. Reste la solution, d’intégrer ça petit à petit ce qu’ils font par exemple le sous système linux dans W10 qui est un library OS complètement isolé branché avec une PAL qui va bien.
Il faudrait aussi arrêter d’utiliser des langages à effet de bord du genre faire : int i = 2; puis i = 7; ne devrait pas être possible si non spécifié explicitement. Le développement par preuve mathématique lui est limité à +/- 100K lignes de code avant que l’entropie ne l’emporte et rendre impossible la vérification. Sans compter que cela est hors de porté de la majorité des développeurs.
Il faudrait aussi pouvoir prévoir l’ensemble des cas possibles, en gros avoir une boule de cristal et pas une petite, faire appel à des voyants des marabouts, avoir une machine à voyager dans le temps et sacrifier des vierges et des poulets les soirs de plein lune.
#64
Android est un vrai gruyère (je reste gentil) étrangement ils parlent pas trop de la majorité des failles de leur étron d’OS. En Os mobile vaut mieux avoir de l’ios ou du windows phone.
#65
#66
Lol, je crois que tu m’as lu trop vite.
Je ne pense pas qu’une loi contre les failles soit possible. Je répondais surtout à ceux qui disent qu’en cas de procès, Microsoft serait forcement coupable, contrairement à Google. Car dans le cas actuel, cela risque même d’être l’inverse. Il n’y a aucune loi nulle part pour imposer la correction des failles. C’est surtout la réputation de la boîte qui est en jeu, et peut être dans certains cas la non protection des données (vu que là Microsoft est au courant, et encore, je ne sais pas si cela existe dans le droit américain).
#67
Moi, c’est ce score-là dont je me souviens encore (16/01/1997)
" />
#68
#69
La volonté n’a rien à voir avec la responsabilité. Rien qu’un exemple au cas ou tu doutes : “homicide involontaire”…
#70
En meme temps, selon vous, quelle est la situation la pire ?
Ne rien dévoiler et laisser tous vos systèmes vulnérable pendant potentiellement des années alors que des hackers/gouvernements et co peuvent avoir trouvé la faille ?
Ou dévoiler, risquer effectivement une fenêtre ouverte sur celle ci pendant quelque jours en forçant la main a Microsoft pour régler le problème ?
Moi, je préfère la première solution.
Idéalement, le mieux aurait été que Microsoft se sorte les doigts du cul et corrige la faille en moins de 90 jours, faut quand même pas pousser.
#71
#72
Google se prend pour le gendarme d’Internet. C’est sûr que si Microsoft se penchait sur Android, le temps de déploiement des correctifs ne dépasserait pas 90 jours… Quelle blague.
Et bien entendu, utilisez Chrome qui lui est parfaitement sain…
#73
#74
J’ai eu des cours sur des choses plus chaudes et plus toxiques que la réaction du savon…
#75
Tout le processus est en plus du problème de failles, un problème de communication.
MS aurait pu dénoncer la règle des 90 jours ou simplement annoncer qu’ils travaillaient sur des patchs et que google serait le méchant s’il dévoilait.
Pas de communication, donc aucune indication sur ce qu’ils font. De leur côté, Google n’indique pas non plus si l’éditeur répond ou pas et si les travaux avancent.
Le système se veut vertueux, mais c’est seulement une épée de Damoclès qui menace chacun des éditeurs logiciels chez qui ont été recensées des failles. Ils ont oublié la transparence par rapport la collaboration avec les éditeurs.
J’ai un sentiment très mitigé sur le système mis en place par Google. C’est important de découvrir les failles, mais une règle stricte de 90 jours non extensibles sans indication de la réponse des éditeurs, c’est inadapté. Les seules annonces c’est sur la correction, mais quand on ne peut pas atteindre l’objectif dans les 90 jours, c’est mort.
#76
Non, mais j’ai déjà corrigé des bugs avant qu’ils soient découverts parce qu’on m’a parlé d’un truc similaire.
C’est plus parlant ?
#77
Est-on vulnérable en entreprise dont les postes bureautiques sont virtualisés sous Citrix (+ archi standard proxy, fw, etc) ?
#78
Perso ça ne me gêne pas que Google publie sur une faille avérée, mais pourquoi publier le proof of concept ?
L’exploitation de la faille ne pourrait-elle pas être réservée entre MS et Google ?
Parce que bon, entre exploiter une faille décrite, et ouvrir le proof of concept pour voir comment ça marche, y a une grosse marge en termes de compétences…
#79
Google balance les proof of concept dans la nature.
C’est équivalent à mettre une réserve d’armes avec un méga panneau “Servez vous, c’est prêt à l’emploi.”
Stock et munitions illimitées.
#80
#81
#82
#83
90 jours sans correction, c’est une forme de coma, non ? Ou bien la correction remet en cause trop de choses imbriquées les dans les autres, et c’est un merdier pas possible à corriger, et surtout à tester. Si c’est sous-traité en Inde, merci MS…
#84
#85
#86
Peu importe l’objet, il ne fait rien seul, les personnes sont responsables de leurs actes. C’est la volonté de pirater qui cause le piratage, pas la facilité.
Les analogies ne marchent jamais vraiment bien, on a toujours des différences.