Google dévoile une sérieuse faille présente dans Windows 10

Par

le

Google a partagé les détails d’une faille de sécurité dans Windows 10, seulement 10 jours après en avoir informé Microsoft.

Le Threat Analysis Group de Google a révélé une vulnérabilité critique présente au sein de Windows 10 dans un message public sur le blog de sécurité de l’entreprise. Le bug lui-même est très spécifique – permettant aux attaquants d’échapper à des sandbox de sécurité à travers une faille dans le système win32k – mais il est assez grave pour être classé comme critique, et selon Google, il est activement exploité. En conséquence, Google a rendu l’information publique 10 jours après avoir signalé le bug à Microsoft, avant qu’un correctif ne puisse être codé et déployé. Le résultat est que, même si Google a déjà déployé un correctif pour protéger les utilisateurs de Chrome, Windows lui-même reste vulnérable – et maintenant, tout le monde le sait.

La divulgation de l’information par Google fournit seulement une description générale de la faille, donnant aux utilisateurs suffisamment d’informations pour reconnaître une éventuelle attaque sans pour autant faciliter une réplique de la part des hackers souhaitant en profiter. Exploiter le bug dépend également d’un exploit distinct dans Adobe Flash, pour lequel la société a également publié un patch. Néanmoins, tout simplement en sachant que le bogue existe va probablement inciter un grand nombre de pirates à chercher des moyens viables pour l’exploiter contre les ordinateurs qui n’ont pas encore mis à jour Flash.

Contacté par VentureBeat, Microsoft a durement critiqué la divulgation. « La divulgation d’aujourd’hui par Google fait courir un risque potentiel aux clients », a déclaré un porte-parole de Microsoft. « Nous recommandons aux clients d’utiliser Windows 10 et le navigateur Microsoft Edge pour une meilleure protection ».

Mardi, Microsoft a poursuivi avec plus de détails dans un post publié par le vice-président exécutif de l’entreprise, Terry Myerson. Myerson a attribué l’exploitation du bug à un groupe appelé Strontium, un groupe russe également connu sous le nom de Fancy Bear ou APT 28. Myerson a souligné que les utilisateurs de Windows 10 naviguant avec Edge seraient protégés contre l’attaque, et a promis qu’un patch au niveau du système sera publié le 8 novembre.

Le bref délai accordé par Google avant de rendre public la faille est conforme à une politique que l’entreprise a mise en place en 2013, et qui permet aux vulnérabilités critiques d’être divulguées seulement sept jours après que ces dernières aient été signalées. À l’époque, un certain nombre de chercheurs ont jugé cette politique trop sévère, arguant que sept jours n’étaient pas suffisants pour répondre correctement à une vulnérabilité complexe. C’est la première invocation majeure de la politique depuis sa mise en place il y a trois ans, bien que les ingénieurs de Google se sont défendus en expliquant que la démarche était nécessaire compte tenu de l’exploitation active du bug.

« Nous encourageons les utilisateurs à vérifier que les mises à jour automatiques ont déjà mis à jour Flash – et à mettre à jour manuellement si ce n’est pas », recommande le post de Google, « et à appliquer des correctifs Windows de Microsoft quand ils deviennent disponibles ».


Articles recommandés