Microsoft, comme la grande majorité des entreprises travaillant dans le logiciel, préfère que les failles de sécurité lui soient communiquées de manière confidentielle. Tavis Ormandy, ingénieur chez Google, ne l’a pas entendu de cette oreille et a choisi la voie de la démonstration publique pour révéler une brèche de type 0-day, valable dans Windows 7 et 8.
Décision radicale et agacement
De nombreux chercheurs en sécurité et développeurs trouvent régulièrement des failles de sécurité dans les produits qu’ils utilisent. Les éditeurs préfèrent évidemment que les communications soient privées, afin que les détails des vulnérabilités ne tombent pas entre de mauvaises mains. Lorsque Microsoft publie ses bulletins mensuels de sécurité, chacun comporte d’ailleurs une précision pour indiquer si la faille a été rapportée de manière publique ou confidentielle.
Visiblement lassé de devoir passer par les services compétents chez Microsoft, l’ingénieur Tavis Ormandy, de chez Google, a choisi récemment de passer par la voie publique. Il a publié l’ensemble des détails d’une faille sur la mailing liste SecList, choisissant sciemment d’ignorer les recommandations dans ce domaine. La faille elle-même peut être exploitée sous Windows 7 et 8 depuis un compte local afin de provoquer une escalade dans les privilèges.
La faille en elle-même ne semble pas spécifiquement dangereuse. D’abord, comme décrite par Tavis Ormandy, elle nécessite obligatoirement l’accès physique à la machine pour manipuler le compte local. Mais, surtout, l’ingénieur l'évoque comme complexe à exploiter. Secunia, qui s’est fait l’écho de la brèche de sécurité, indique pour sa part un niveau de dangerosité de 2/5, soit « Peu critique ». La mention « Local system » indique par ailleurs que la faille ne peut pas être exploitée à distance.
Chacun son interprétation de la responsabilité
Le point important est finalement la méthode choisie pour révéler la faille. Le problème est comparable à ce qui a déjà été fait pour plusieurs failles Java dont les détails ont été rendus publics dans le passé. Concernant Ormandy, l’explication se trouve probablement dans un billet posté le 15 mai et dans lequel il explique qu’il est « souvent difficile » de travailler avec Microsoft. Il conseille même aux chercheurs de rapporter les failles de manière anonyme pour ne pas être traités avec « hostilité », jusqu’à utiliser le réseau Tor.
Tout le monde n’est évidemment pas de cet avis. C’est le cas de Graham Cluley, consultant pour la société de sécurité Sophos. Dans une réponse donnée à The Verge, il indique que « l’équipe de sécurité de Microsoft fait un excellent travail » et il encourage les chercheurs à travailler de manière « responsable » plutôt que de risquer une aide involontaire aux pirates. La même société Sophos avait par ailleurs sévèrement critiqué Tavis Ormandy en 2010 lors d’une révélation publique des détails d’une faille dans Windows XP. Ormandy avait également, en août 2011, accusé Adobe d’avoir voulu masquer le vrai nombre de failles dans un correctif pour Flash : la société parlait de 13 vulnérabilités, mais l’ingénieur affirmait en avoir remonté 400.
Quoi qu’il en soit, Microsoft est au courant de la situation et a indiqué travailler sur une solution.
