Microsoft révèle que Google a publié des détails sur la vulnérabilité de Windows malgré sa demande de retard

Un chercheur de Google a trouvé une vulnérabilité de sécurité non corrigée dans Windows 8.1 et il a publié le bogue sur la page Google Security Research et il était soumis à un délai de divulgation de 90 jours. Si 90 jours s'écoulent sans qu'un correctif soit largement disponible, le rapport de bogue deviendra automatiquement visible au public. Avec cette politique, Google a publié les informations de vulnérabilité sur le Web. C'était une décision irresponsable de Google de publier une vulnérabilité sur un produit tel que Windows qui est utilisé par des millions de personnes chaque jour.

Aujourd'hui, Microsoft a confirmé avoir demandé à Google de retarder ce processus de 2 jours jusqu'à ce qu'il publie son correctif. Mais Google a joyeusement refusé la demande sans se soucier des millions d'utilisateurs.

La philosophie et l'action CVD se déroulent aujourd'hui alors qu'une entreprise - Google - a publié des informations sur une vulnérabilité dans un produit Microsoft, deux jours avant notre correctif prévu sur notre cadence Patch Tuesday bien connue et coordonnée, malgré notre demande d'éviter de le faire. Plus précisément, nous avons demandé à Google de travailler avec nous pour protéger les clients en retenant les détails jusqu'au mardi 13 janvier, date à laquelle nous publierons un correctif. Bien que le suivi respecte le calendrier de divulgation annoncé par Google, la décision ressemble moins à des principes qu'à un "gotcha", les clients pouvant en souffrir. Ce qui convient à Google ne convient pas toujours aux clients. Nous exhortons Google à faire de la protection des clients notre objectif principal collectif.

Microsoft pense depuis longtemps que la divulgation coordonnée est la bonne approche et minimise les risques pour les clients. Nous pensons que ceux qui divulguent entièrement une vulnérabilité avant qu'un correctif ne soit largement disponible rendent un mauvais service à des millions de personnes et aux systèmes dont ils dépendent. D'autres entreprises et particuliers estiment qu'une divulgation complète est nécessaire car elle oblige les clients à se défendre, même si la grande majorité ne prend aucune mesure, étant largement dépendante d'un fournisseur de logiciels pour publier une mise à jour de sécurité. Même pour ceux qui sont en mesure de prendre des mesures préparatoires, le risque est considérablement accru en annonçant publiquement des informations qu'un cybercriminel pourrait utiliser pour orchestrer une attaque et en supposant que ceux qui prendraient des mesures soient informés du problème. Parmi les vulnérabilités divulguées en privé grâce à des pratiques de divulgation coordonnées et corrigées chaque année par tous les éditeurs de logiciels, nous avons constaté que presque aucune n'est exploitée avant qu'un « correctif » n'ait été fourni aux clients, et même après qu'un « correctif » est rendu public, seul un de très petites quantités sont exploitées. À l'inverse, le bilan des vulnérabilités divulguées publiquement avant que les correctifs ne soient disponibles pour les produits concernés est bien pire, les cybercriminels orchestrant plus fréquemment des attaques contre ceux qui ne se sont pas ou ne peuvent pas se protéger.

Un autre aspect du débat sur les maladies cardiovasculaires est lié au timing - en particulier le laps de temps acceptable avant qu'un chercheur ne communique largement l'existence d'une vulnérabilité. Correction d'un bogue dans le service Web complètement différent de la correction d'un bogue dans Windows qui est un système d'exploitation vieux de dix ans.

Lire plus à ce sujet du billet de blog de Microsoft.