Microsoft affirme que l'attaque WannaCrypt devrait être un signal d'alarme pour que les gouvernements cessent de stocker des vulnérabilités

Microsoft a été critiqué par des personnalités comme le New York Times pour ne pas avoir publié de mises à jour pour les versions non prises en charge de leurs logiciels, y compris Windows XP, qui est presque assez ancien pour voter.

Maintenant, dans un article de blog, Brad Smith, président et directeur juridique de Microsoft, a tenté de rejeter le blâme là où il appartient en partie - non seulement avec les criminels, mais aussi les entreprises lentes à mettre à jour leurs logiciels, et les gouvernements stockant des vulnérabilités, empêchant ainsi Microsoft de les réparer, puis de les perdre en masse, ce que Microsoft assimile à la perte par l'armée d'une réserve de missiles Tomahawk.

Châtiant les premières entreprises pour ne pas avoir mis à jour leurs logiciels avec les derniers correctifs, Microsoft a noté que la sécurité était une responsabilité partagée entre les fournisseurs qui publient les mises à jour et les clients qui les appliquent.

"À mesure que les cybercriminels deviennent plus sophistiqués, les clients n'ont tout simplement aucun moyen de se protéger contre les menaces à moins de mettre à jour leurs systèmes. Sinon, ils combattent littéralement les problèmes du présent avec des outils du passé. Cette attaque est un rappel puissant que les bases de la technologie de l'information, comme la mise à jour et les correctifs des ordinateurs, sont une grande responsabilité pour tout le monde, et c'est quelque chose que chaque cadre supérieur devrait soutenir,», a noté Smith.

De nombreuses entreprises sont bien sûr réticentes à déployer des correctifs sans tests approfondis, ce que Microsoft a compris, mais Smith a noté que Microsoft utilisait «des tests et des analyses robustes pour permettre des mises à jour rapides de l'infrastructure informatique. »

En ce qui concerne le stockage des vulnérabilités par les acteurs étatiques, Smith a noté que « rà plusieurs reprises, des exploits aux mains des gouvernements se sont infiltrés dans le domaine public et ont causé des dommages considérables,” conduisant à la situation bizarre des actions gouvernementales conduisant à plusieurs reprises à des attaques criminelles.

Appelant WannaCrypt un signal d'alarme, Smith a de nouveau renouvelé son appel à une "Convention de Genève numérique" qui obligerait les gouvernements à prendre en compte le risque pour les civils de thésauriser les vulnérabilités et qui inclurait une nouvelle exigence pour les gouvernements de signaler les vulnérabilités aux fournisseurs, plutôt que de les stocker, de les vendre ou de les exploiter.

Microsoft a déclaré qu'il était déterminé à faire sa part et a appelé les gouvernements à prendre eux-mêmes des mesures pour protéger leurs citoyens.

Lire Le post complet de Brad Smith ici.