Sécurité : un collectif de chercheurs anti-Microsoft

Le par  |  3 commentaire(s)
Microsoft_Securite

En réaction au traitement réservé par Microsoft à Tavis Ormandy, des chercheurs en sécurité ont formé le Microsoft Spurned Researcher Collective.

Microsoft_SecuriteIngénieur Google, Tavis Ormandy a récemment fait parler de lui en divulguant publiquement une vulnérabilité affectant le service d'aide et support de Windows XP. Le 29 juin dernier, Microsoft a indiqué que via cette vulnérabilité le cap des 10 000 PC attaqués à travers le monde a été franchi.

La firme de Redmond a été très critique à l'égard de l'attitude de Tavis Ormandy, et on imagine que sa qualité de Googler a particulièrement incité Microsoft à enfoncer le clou, même si en l'occurrence le chercheur a toujours clamé avoir agi en son nom.

Microsoft a sévèrement mis en cause Tavis Ormandy, estimant que ce dernier ne lui avait pas donné assez de temps pour la mise au point d'un correctif, soit seulement quatre jours, avant de procéder à la divulgation publique. Microsoft a notamment souligné qu'un tel processus de correction est complexe afin d'éliminer toutes les racines du problème, et qu'en agissant de la sorte Tavis Ormandy a mis en péril la sécurité des utilisateurs finaux.


Des chercheurs énervés adeptes du full disclosure
Plusieurs pairs de Tavis Ormandy ont visiblement été exaspérés par le ton hautement réprobateur de  Microsoft. Sous couvert d'anonymat, ils ont formé le groupe Microsoft Spurned Researcher Collective ( le collectif des chercheurs rejeté par Microsoft ) et en l'occurrence un petit pied de nez au groupe officiel de sécurité du géant du logiciel : Microsoft Security Response Center.

Le Microsoft Spurned Researcher Collective promet de mener en quelque sorte la vie dure à Microsoft, puisque les chercheurs en sécurité informatique qui composent ce collectif ont promis de divulguer publiquement les vulnérabilités qu'ils découvriront sur leur temps libre. Les représailles ont d'ailleurs déjà commencé.

Heureusement, d'une certaine manière, la première salve n'est pas véritablement critique mais a tout de même été confirmée tant par Secunia que VUPEN. Une vulnérabilité 0-day affectant Windows Vista et Windows 2008. Son exploitation permet un déni de service voire une élévation de privilèges mais elle ne peut se faire que localement.

Reste maintenant à voir jusqu'où ira le Microsoft Spurned Researcher Collective. En tout cas au moins jusqu'à l'humour provocateur si l'on en juge par une pseudo mesure de contournement évoquée et à l'intention de Microsoft : dans la base de registre, se rendre à la clé HKCU\Microsoft\Windows\CurrentVersion\Security et mettre la valeur booléenne OurJob à False. Une manière détournée de dire que Microsoft ne fait pas son boulot en ce qui concerne la sécurité et les vulnérabilités.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #666851
Microsoft a raison de penser que ce sont les utilisateurs de Windows qui payeront la note en bout de piste pour une bande de cons frustrés qui veulent faire parler d'eux.

Non seulement est-ce un manque flagrant d'éthique, mais c'est complètement ridicule et puérile.
patheticcockroach Hors ligne VIP 7362 points
Le #666861
@clope2000: les utilisateurs de Windows adorent payer la note de toute façon, alors je vois pas où est le problème
Le #666881
Ce gars aurait pu vendre sa découverte au plus offrant
Microsoft devrait déjà être content qu'il les en informe, car rien ne l'oblige à le faire
La propriété intellectuelle appartient à celui qui la trouve, non ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]