Microsoft n’a pas tardé à réagir à la révélation d’une faille de sécurité Windows révélée le 31 octobre par Google. Un patch correctif est prévu pour le 8 novembre.« Nous révélons aujourd’hui l’existence d’une faille de sécurité particulièrement importante dans Windows qui ne dispose pour l’instant d’aucune mise à jour corrective. Cette faille est particulièrement dangereuse puisqu’elle est activement utilisée. » Google n’a pas mâché ses mots au moment de dévoiler en détail, lundi 31 octobre, la menace qui plane sur les utilisateurs de Windows.
Une « évasion de sandbox » dénoncée par Google
Dans un post de blog, les chercheurs en sécurité informatique de l’entreprise expliquent avoir alerté Microsoft et Adobe de l’existence de cette faille le 21 octobre. Si Adobe a mis à jour Flash cinq jours plus tard par sécurité, Google a décidé, face à l’inaction de Microsoft, d’informer le public de ce danger. L’entreprise respecte ainsi scrupuleusement sa politique de sécurité adoptée en 2013 : « Si sept jours se sont écoulés sans qu’un patch correctif ou un avertissement aient été donnés [par l’entreprise concernée], nous soutiendrons les chercheurs qui expliquent publiquement aux utilisateurs comment se protéger eux-mêmes. »
CC Microsoft Sweden
Google indique au passage que son navigateur, Chrome, garantit la sécurité de ses utilisateurs contre cette faille. Il s’agit d’une « évasion de sandbox », comme nous l’explique une source qui a souhaité conserver l’anonymat et qui travaille dans la sécurité informatique : « Une sandbox permet de limiter les fonctionnalités auxquelles a accès un processus donné, ce qui inclut les applications. En mettant les processus de son application en sandbox, un développeur ne l’autorise qu’à accéder qu’aux fonctions du système d’exploitation auxquels elle a besoin. Ainsi, même si une application est vulnérable et permet, par exemple, d’exécuter du code malveillant — comme c’était le cas ici avec Flash –, le fait qu’elle soit mise en sandbox va l’interdire malgré tout d’effectuer certaines opérations (par exemple écrire des fichiers sur le disque). »
Concrètement, les dangers sont donc multiples : « La faille en question permet de contourner ces mécanismes de limitation et donc d’utiliser des fonctionnalités dangereuses, comme l’écriture de fichiers sur le disque, ou encore l’installation de logiciels malveillants et la récupérations de documents stockés sur le disque du poste attaqué. »
« La révélation de Google expose nos utilisateurs à un danger potentiel »
Si l’entreprise a attendu dix jours plutôt que sept avant de révéler cette menace au public. Microsoft n’a pas tardé à riposter par l’intermédiaire de Terry Myerson, vice-président exécutif de Windows ; « Nous sommes convaincus qu’une entreprise technologique responsable doit faire primer le client avant tout et procéder à une révélation coordonnée des failles de sécurité. La décision prise par Google, sans laisser le temps d’assurer de l’efficacité d’un patch correctif, est décevante et accentue la menace potentielle qui plane sur les utilisateurs. »
En attendant la sortie de son patch correctif pour toutes les versions de son OS — dont la sortie est prévue pour le 8 novembre — Microsoft conseille à ses clients de passer à Windows 10. On ne loupe jamais une occasion chez Redmond. L’entreprise assure par ailleurs que les utilisateurs de l’Anniversary Update utilisant le navigateur Edge sont protégés de cette faille.
Partager sur les réseaux sociaux
Articles liés
Lire
Dépoussiérez un vieux PC avec CloudReady et Chromium OS
19 février 2016
Lire
Comment Microsoft s’imagine observer et comprendre tout ce que vous faites sous Windows
26 septembre 2016
Lire
Windows 95 dans votre navigateur en Javascript
01 février 2016
Lire
Microsoft a réussi à imposer Windows 10 sur un PC sur cinq
02 août 2016
Lire
Magic Leap se moque des Google Glass dans un brevet
27 avril 2016
Lire
Microsoft a livré son Windows 10 spécialement adapté à la Chine
25 mars 2016
Source: Numerama
