Google est imparable. En moins de trois semaines, Google a révélé un total de quatre vulnérabilités zéro jour affectant Windows, dont deux seulement quelques jours avant que Microsoft soit prêt à publier un correctif. Microsoft n'a pas été amusé et à en juger par la réaction de Google, d'autres cas semblables sont susceptibles de suivre.
Est-ce que la façon dont Google apprend à ses concurrents à être plus efficace? Et les utilisateurs? L'adhésion stricte de Google à des délais arbitraires est-elle dans notre meilleur intérêt?
Pourquoi les vulnérabilités de Google Reporting Windows
Project Zero, une équipe d'analystes de sécurité de Google, a fait des recherches sur les exploits de zéro jour. Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explique] Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explains] Lire la suite depuis 2014. Le projet a été fondé après qu'un groupe de recherche à temps partiel ait identifié plusieurs bogues logiciels, y compris la vulnérabilité critique Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite .
Dans leur annonce de Project Zero, Google a souligné que leur priorité était de sécuriser leurs propres produits. Puisque Google ne fonctionne pas dans le vide, leur recherche s'étend à tous les logiciels que leurs clients utilisent.
Jusqu'à présent, l'équipe a identifié plus de 200 bogues dans divers produits, y compris Adobe Reader, Flash, OS X, Linux et Windows. Chaque vulnérabilité est signalée au fournisseur du logiciel uniquement et reçoit une période de grâce de 90 jours, après quoi elle est rendue publique via le forum Google Security Research.
Ce bug est soumis à une date limite de divulgation de 90 jours. Si 90 jours se sont écoulés sans un patch largement disponible, le rapport de bogue sera automatiquement visible par le public.
C'est ce qui est arrivé à Microsoft. Quatre fois. La première vulnérabilité de Windows (numéro 118) a été identifiée le 30 septembre 2014 et a ensuite été publiée le 29 décembre 2014. Le 11 janvier, juste quelques jours avant que Microsoft soit prêt à sortir une correction via Patch Tuesday Windows Update: Tout ce dont vous avez besoin savoir Windows Update: Tout ce que vous devez savoir Windows Update est-il activé sur votre PC? Windows Update vous protège des failles de sécurité en maintenant Windows, Internet Explorer et Microsoft Office à jour avec les derniers correctifs de sécurité et corrections de bogues. En savoir plus, la deuxième vulnérabilité (numéro 123) a été rendue publique, lançant un débat pour savoir si Google n'aurait pas pu attendre. Quelques jours plus tard, deux autres vulnérabilités (numéro 128 et numéro 138) sont apparues dans la base de données publique, ce qui a encore aggravé la situation.
Que s'est-il passé dans les coulisses?
Le premier problème (n ° 118) était une vulnérabilité d'escalade de privilèges critique, affectant Windows 8.1. Selon The Hacker News, cela « pourrait permettre à un pirate informatique de modifier le contenu ou même de reprendre complètement les ordinateurs des victimes, laissant des millions d'utilisateurs vulnérables ». Google n'a révélé aucune communication avec Microsoft concernant ce problème.
Pour le deuxième numéro (# 123), Microsoft a demandé une extension, et lorsque Google l'a nié, ils ont fait des efforts pour publier le correctif un mois plus tôt. Ce sont les commentaires de James Forshaw:
Microsoft a confirmé qu'ils étaient sur la bonne voie pour apporter des correctifs à ces problèmes en février 2015. Ils ont demandé si cela poserait un problème avec l'échéance de 90 jours. Microsoft a été informé que le délai de 90 jours est fixé pour tous les fournisseurs et toutes les classes de bogues et qu'il ne peut donc pas être prolongé. En outre, ils ont été informés que le délai de 90 jours pour ce numéro expire le 11 janvier 2015.
Microsoft a publié des correctifs pour les deux problèmes avec Update Tuesday en janvier.
Avec le troisième numéro (# 128), Microsoft a dû retarder un correctif en raison de problèmes de compatibilité.
Microsoft nous a informé qu'un correctif était prévu pour les correctifs de janvier mais qu'il devait être retiré en raison de problèmes de compatibilité. Par conséquent, le correctif est maintenant prévu dans les correctifs de février.
Même si Microsoft a informé Google qu'ils travaillaient sur le problème, mais confrontés à des difficultés, Google est allé de l'avant et a publié la vulnérabilité. Pas de négociation, pas de pitié.
Pour le dernier numéro (# 138), Microsoft a décidé de ne pas le réparer. James Forshaw a ajouté le commentaire suivant:
Microsoft a conclu que le problème ne respecte pas la barre d'un bulletin de sécurité. Ils indiquent que cela nécessiterait trop de contrôle de la part de l'attaquant et qu'ils ne considèrent pas les paramètres de stratégie de groupe comme une fonctionnalité de sécurité.
Le comportement de Google est-il acceptable?
Microsoft ne le pense pas. Dans une réponse complète, Chris Betz, directeur principal du Microsoft Security Research Center, appelle à une meilleure divulgation de la vulnérabilité. Il souligne que Microsoft croit en la Vulnerability Disclosure (CVD), une pratique dans laquelle les chercheurs et les entreprises collaborent sur les vulnérabilités afin de minimiser les risques pour les clients.
En ce qui concerne les événements récents, Betz confirme que Microsoft a spécifiquement demandé à Google de travailler avec eux et de retenir les détails jusqu'à ce que les correctifs ont été distribués pendant Patch Tuesday. Google a ignoré la demande.
Bien que le respect des délais annoncés par Google pour la divulgation soit respecté, la décision semble moins s'apparenter à des principes et s'apparente davantage à un «getcha», les clients pouvant en souffrir.
Selon Betz, les vulnérabilités révélées publiquement font l'objet d'attaques orchestrées par des cybercriminels, un acte à peine perceptible lorsque les problèmes sont divulgués en privé par le biais des maladies cardiovasculaires et corrigés avant que l'information ne soit rendue publique. En outre, selon Betz, toutes les vulnérabilités ne sont pas égales, ce qui signifie que la chronologie dans laquelle un problème est corrigé dépend de sa complexité.
Son appel à la collaboration est fort et clair et ses arguments sont solides. Le reflet qu'aucun logiciel n'est parfait parce qu'il est fait par de simples humains opérant avec des systèmes complexes, est attachant. Betz frappe le clou sur la tête quand il dit:
Ce qui est bon pour Google n'est pas toujours bon pour les clients. Nous exhortons Google à faire de la protection des clients notre objectif principal collectif.
L'autre point de vue est que Google a une politique établie et ne veut pas céder aux exceptions. Ce n'est pas le genre d'inflexibilité que vous attendez d'une entreprise ultra moderne comme Google. De plus, publier non seulement la vulnérabilité, mais aussi le code d'exploitation est irresponsable, étant donné que des millions d'utilisateurs pourraient être touchés par une attaque concertée.
Si cela se produit à nouveau, que pouvez-vous faire pour protéger votre système?
Aucun logiciel ne sera jamais à l'abri des exploits de zéro jour. Vous pouvez augmenter votre propre sécurité en adoptant une hygiène de sécurité de bon sens. C'est ce que Microsoft recommande:
Nous encourageons les clients à garder leur logiciel anti-virus. Le meilleur logiciel Windows Le meilleur logiciel Windows Windows nage dans une mer d'applications gratuites. Lesquels pouvez-vous faire confiance et lesquels sont les meilleurs? Si vous n'êtes pas sûr ou avez besoin de résoudre une tâche spécifique, consultez cette liste. En savoir plus à jour, installer toutes les mises à jour de sécurité disponibles 3 raisons pour lesquelles vous devriez exécuter les derniers correctifs et mises à jour de sécurité Windows 3 raisons pour lesquelles vous devriez exécuter les derniers correctifs et mises à jour de sécurité Windows des trous de boucle, des erreurs, des incompatibilités ou des éléments logiciels obsolètes. Bref, Windows n'est pas parfait, on le sait tous. Les correctifs de sécurité et les mises à jour corrigent les vulnérabilités ... Lire la suite et activer le pare-feu Le meilleur logiciel Windows Le meilleur logiciel Windows Windows nage dans une multitude d'applications gratuites. Lesquels pouvez-vous faire confiance et lesquels sont les meilleurs? Si vous n'êtes pas sûr ou avez besoin de résoudre une tâche spécifique, consultez cette liste. Lire la suite sur leur ordinateur.
Notre verdict: Google aurait dû coopérer avec Microsoft
Google a respecté son délai arbitraire, plutôt que d'être flexible et d'agir dans le meilleur intérêt de ses utilisateurs. Ils auraient pu prolonger la période de grâce pour révéler les vulnérabilités, surtout après que Microsoft a annoncé que les correctifs étaient (presque) prêts. Si le but noble de Google est de sécuriser Internet, ils doivent être prêts à coopérer avec d'autres entreprises.
Pendant ce temps, Microsoft aurait pu avoir plus de ressources pour développer des correctifs. 90 jours est considéré comme un délai suffisant par certains. En raison de la pression de Google, ils ont en fait poussé un patch un mois plus tôt que prévu initialement. Il semble presque qu'ils n'ont pas donné la priorité à la question suffisamment à l'origine.
Généralement, si le fournisseur du logiciel signale qu'il travaille sur le problème, des chercheurs comme l'équipe Project Zero de Google devraient coopérer et prolonger les périodes de grâce. Garder une vulnérabilité bientôt corrigée Les utilisateurs de Windows Attention: Vous avez un problème de sécurité grave Les utilisateurs Windows Attention: vous avez un sérieux problème de sécurité Lire Plus secret semble être plus sûr que d'attirer l'attention des pirates. La sécurité des clients ne devrait-elle pas être la première priorité d'une entreprise?
Qu'est-ce que tu penses? Qu'est-ce qui aurait été une meilleure solution ou est-ce que Google a fait la bonne chose après tout?
Crédits image: Assistant Via Shutterstock, piraté par wk1003mike via Shutterstock, Red Rope par Mega Pixel via Shutterstock