Bisbilles entre Microsoft et Google sur une faille dans Windows 8.1 publiée

crédit photo © luckyraccoon - shutterstock

Microsoft proteste contre Google. En cause, la divulgation par le géant de la recherche Internet d’une faille de sécurité critique touchant le système d’exploitation Windows 8.1, quelques jours seulement avant que la firme de Redmond ne la corrige.

Google a ici appliqué à la lettre ses règles de divulgation des failles. Il a ainsi averti Microsoft le 13 octobre 2014 de l’existence de cette vulnérabilité, puis attendu 90 jours avant d’en dévoiler les détails au public. Une bonne façon de laisser le temps aux éditeurs de corriger les bogues de leurs logiciels, tout en limitant le risque de voir apparaître un ‘exploit’ utilisable par les cybercriminels.

CVD VS Full disclosure

Chris Betz, employé au sein du Microsoft Security Response Center, conteste cette décision de divulguer les détails de la faille, alors même que Microsoft avait préannoncé un correctif devant arriver ce jour. Il en appelle à une meilleure coordination.

« Avec tout ce qui se passe, il est temps pour les chercheurs en sécurité et les éditeurs de logiciels de se réunir et non pas de rester divisés sur les stratégies de protection, comme la divulgation des vulnérabilités et leur résolution », explique-t-il/

Chris Betz ne cache pas sa préférence pour des divulgations coordonnées de failles (CVD pour Coordinated vulnerability disclosure). Un procédé qui s’oppose à celui adopté par Google. Afin de contraindre les éditeurs à corriger les problèmes détectés dans leurs logiciels, la firme a en effet opté pour un modèle de divulgation systématique des détails des vulnérabilités, après un délai jugé raisonnable (Full disclosure).