Faille de Windows 8.1 : Google s'attire les foudres de Microsoft

Mise à jour du 13 janvier 2015 :

Microsoft a réagi face à la divulgation de la part de Google concernant la faille de sécurité de Windows 8.1. Et l'éditeur de Redmond n'est pas tendre par rapport à l'attitude de Google. « Ce qui est bon pour Google n'est pas toujours bon pour les clients. Nous appelons Google à faire de la protection des clients notre objectif commun et principal », a déclaré Chris Betz, directeur du pôle sécurité de Microsoft. « Leur décision semble moins reposer sur des principes et davantage sur un Gotcha (un piège, une vengeance), et ce sont les clients qui en souffrent par la suite. » Si Redmond n'a toujours pas livré de correctif, peut-être sera-t-il diffusé dès aujourd'hui par l'intermédiaire du Tuesday Patch ?

Article original du 5 janvier 2015 - 17h00 :

Lorsqu'une faille est détectée au sein de Windows, elle est généralement comblée assez rapidement par Microsoft. Sauf que cette fois, Redmond n'a pas eu le temps de résoudre une vulnérabilité découverte par Google concernant Windows 8.1 qui n'avait pas été dévoilée jusqu'alors. Manque de chance pour Microsoft, Google a suivi à la lettre sa propre politique, qui consiste à révéler au grand public les failles de sécurité 90 jours après leur découverte. La faille se retrouve au vu et au su de tout le monde, et peut être exploitée par n'importe quel hacker en herbe.

En théorie, la vulnérabilité mise en avant par Google et son programme Project Zero a de quoi être alarmante. La faille concerne en fait le module NtApphelpCacheControl et accorde une élévation des privilèges à quiconque en tire profit. Elle contourne l'UAC et permet en théorie à un malware de s'exécuter le plus tranquillement du monde en mode administrateur. En pratique, pour exploiter cette vulnérabilité, il faut que le hacker ait accès en local à la machine et puisse s'identifier. En clair, à moins d'avoir un collègue ou un proche qui souhaite s'accaparer les données de votre machine et qui connaisse vos informations d'identification, il n'y a aucune chance que la faille soit exploitée massivement. Reste à savoir si Microsoft n'a pas été un long à se pencher sur le problème et si les développeurs de Windows auraient pu livrer un correctif plus rapidement. Certains, comme l'éditeur d'antivirus Sophos, estiment que la durée de 90 jours imposée par Google était insuffisante pour Microsoft, qui devait à la fois combler une telle vulnérabilité et surtout tester convenablement un patch. À qui la faute, donc ?

Microsoft a néanmoins révélé être conscient de cette faille de sécurité et a promis de la combler rapidement. En toute logique, le problème devrait être réglé avec le déploiement du prochain Patch Tuesday, qui est prévu pour le 13 janvier 2015. En attendant, mieux vaut toujours se prémunir de toute tentative d'intrusion dans son PC à l'aide d'une solution de sécurité complète et de changer régulièrement son mot de passe de connexion.

Antivirus : quelle est la meilleure suite de sécurité ?

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire