Google dévoile une vulnérabilité de Windows 8.1 et crée la polémique
En appliquant à la lettre sa politique de divulgation de vulnérabilités, Google a publié un exploit pendant la période des fêtes de fin d'année. Et assume en renvoyant Microsoft a ses responsabilités.
« Dévoiler automatiquement cette vulnérabilité lorsque le délai a expiré, sans tenir compte du contexte, m’apparaît incroyablement irresponsable et je m’attendais à plus d’attention et de maturité de la part de Google. »
C’est ainsi qu’a réagi, le 30 décembre dernier, un lecteur des forums développeurs de Google, à la divulgation d’une vulnérabilité découverte dans Windows 8.1 fin septembre dernier.
Comme le détaille cette publication, cette vulnérabilité concerne un appel système permettant de mettre en cache les données de compatibilité des applications pour une réutilisation rapide lors de la création de nouveaux processus.
Mais voilà, les protections associées à cet appel système peuvent être contournées pour gagner des privilèges élevés et prendre le contrôle de la machine compromise. Et Google de proposer un code faisant la démonstration de l’exploitation de cette vulnérabilité.
Cette publication est le fait de l’équipe du Projet Zero de Google, lancé en juillet dernier pour améliorer la sécurité informatique en identifiant et en dévoilant des vulnérabilités, d’abord aux éditeurs concernés, puis publiquement. Sous 90 jours.
L’équipe explique que la vulnérabilité dévoilée à quelques jours du nouvel an était sujette à un délai de trois mois avant divulgation publique : « si le délai de 90 jours échoie sans qu’un correctif ne soit largement disponible, le rapport de bug sera rendu automatiquement visible au public ».
Une procédure appliquée de manière trop stricte
La polémique ne trouve donc pas ici sa source dans la politique de Google et de son Projet Zéro mais dans l’application à la lettre, et automatique, de cette politique, sans tenir compte d’un contexte calendaire spécifique : entre Noël et le jour de l’An. Et un internaute de résumer amèrement : « exposer des vulnérabilités telles que celle-ci a d’importantes conséquences. Des personnes peuvent en être victimes et cela ne rapproche pas d’une solution », le tout alors que de nombreux salariés, tant chez Microsoft que chez Google, étaient probablement en congés.
Pour Graham Cluley, de Lumension, dévoiler la vulnérabilité était une chose, fournir le code permettant de l’exploiter en était une autre, bien moins défendable.
De son côté, Google s’explique par la voix de Ben, l’un des chercheurs de son Projet Zéro, soulignant que Microsoft était au courant de la vulnérabilité depuis le 30 septembre et du délai de 90 jours. Un délai que le groupe considère comme « l’approche optimale pour la sécurité des utilisateurs – il donne aux éditeurs un temps équitable et raisonnable pour appliquer leurs processus de gestion des vulnérabilités, tout en respectant les droits des utilisateurs à connaître et comprendre les risques auxquels ils sont exposés ».
Google s’engage toutefois à « suivre les effets de cette politique très étroitement – nous voulons que nos décisions soient ici basées sur des données ».