Google publie les détails d'une faille 0-day dans Windows, Microsoft en retard sur ses correctifs

Bad timing 68
image dediée
Crédits : billyfoto/iStock
Sécurité

Le Projet Zero de Google a publié les détails d’une faille dans la GDI de Windows, avant la publication du correctif par Microsoft. L’éditeur a cependant bénéficié de 90 jours d’attente, malgré un correctif partiel l’année dernière. Explications.

Le Project Zero de Google dispose d’un règlement strict, bien qu'il ait été légèrement assoupli en février 2015 pour gommer quelques frictions. Microsoft en a déjà fait les frais, parfois à quelques jours d’intervalles seulement avant la publication d’un correctif. Cette fois-ci, le cas est un peu différent.

Tous les aspects du problème n'avaient pas été envisagés

La faille initiale, qui concerne la GDI (Graphic Device Interface) dans Windows, a été signalée pour la première fois le 9 juin 2016. À peine six jours plus tard, un correctif était proposé, réglant a priori la question. Quelques mois plus tard cependant, le Project Zero remet le couvert. Elle envoie le 16 novembre une alerte à Microsoft pour lui indiquer que tous les cas de figure n’ont pas été abordés, le tout accompagné d’un prototype d’exploitation (PoC).

Le 16 février au soir, la période réglementaire des 90 jours étant écoulée, le Project Zero est passé à l’étape suivante. Elle a publié les informations sur la faille, accompagnées du prototype. En d’autres termes, les pirates qui ne connaissaient pas son existence en sont maintenant informés et savent également comment l’exploiter.

La faille réclame un accès physique à la machine

Les utilisateurs sont-ils en grand danger ? Dans l’absolu, le risque semble modéré puisque la faille requiert un accès physique à la machine pour être exploitée. Si le pirate y parvient, il peut obtenir certaines informations stockées en mémoire. Il ne s’agit donc pas d’une brèche critique, notamment parce qu’il n’y a pas exécution arbitraire de code à distance.

Il y a cependant de quoi agacer Microsoft, qui n’en est pas à son premier choc avec le Project Zero. Cela étant, la question du correctif se pose. L’éditeur aurait en effet dû publier la semaine dernière ses bulletins de sécurité pour le mois de février. À la dernière minute, il a averti qu’ils auraient du retard, à cause de la découverte d’un problème, sur lequel aucun détail n’a été donné.

Les bulletins de février reportés à mars

Il est en fait possible que le fameux correctif ait fait partie du lot, mais que le retard ait déclenché la suite de la procédure. Les bulletins de février étant reportés à mars, il resterait alors environ trois semaines d’attente. Même si le risque ne semble pas élevé, il rappellera sans doute de mauvais souvenirs à Microsoft, puisque des pirates russes (le groupe STRONTIUM) avaient il y a quelques mois profité d’une faille du kernel révélée par le Project Zero.

Publiée le 20/02/2017 à 11:30
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...