Windows 8.1 : Google énerve Microsoft avec sa divulgation de failles

Le par  |  55 commentaire(s) Source : Microsoft
bug

Microsoft n'a pas apprécié la divulgation publique de vulnérabilités de sécurité affectant Windows 8.1 avant la disponibilité d'un correctif. La firme de Redmond le fait savoir... publiquement à Google.

Le responsable du centre de réponse aux problèmes de sécurité de Microsoft l'a pour ainsi dire mauvaise et sous-entend que c'est un coup bas volontairement porté par Google. Chris Betz reproche au Projetct Zero de Google d'avoir publié des détails techniques de vulnérabilités affectant Windows 8.1 avant la disponibilité d'un correctif.

Microsoft-logoÀ quelques jours près, cela vient de se produire à deux reprises, soit en l'occurrence pour deux vulnérabilités de type élévation de privilèges dont la première avait été évoquée dans nos colonnes. Pour la deuxième qui concentre les critiques de Microsoft, la divulgation publique a eu lieu le 11 janvier, alors qu'une correction est programmée pour le 13 janvier dans le cadre du premier Patch Tuesday de l'année.

Microsoft avait demandé à Google d'attendre le 13 janvier pour sa publication, mais c'était deux jours de trop pour retenir sa langue. Le Project Zero a aveuglément suivi sa politique de divulgation publique de 90 jours après avoir notifié un éditeur. On peut comprendre qu'à deux jours près... cela agace.

Pour Chris Betz, " ce qui est bon pour Google n'est pas toujours bon pour les clients. Nous demandons instamment à Google de faire de la protection des clients notre objectif collectif principal ". Un appel afin que Google révise certaines de ses positions avec le Project Zero mais qui devrait resté lettre morte.

Par ailleurs, on rappellera que Google ne joue pas toujours les franc-tireurs et ses ingénieurs signalent régulièrement de manière confidentielle des vulnérabilités à Microsoft et ne dégainent pas une divulgation publique avant le Patch Tuesday salvateur.

Impliqué dans le Project Zero, le chercheur en sécurité James Forshaw avait défendu celui-ci en expliquant qu'il donne aux éditeurs de logiciels " un laps de temps juste et raisonnable pour leur procédure de gestion des vulnérabilités, tout en respectant les droits des utilisateurs d'apprendre et comprendre les risques auxquels ils sont confrontés. "

Mais pour Chris Betz de Microsoft, cette pratique augmente significativement les risques pour les utilisateurs et ne prend pas suffisamment en compte l'hétérogénéité de la sévérité des vulnérabilités qui parfois s'inscrivent dans des environnements complexes. Bref, Microsoft ne jure que par la pleine collaboration entre l'éditeur et les chercheurs en sécurité.

C'est un vieux débat au sein de la communauté des experts en sécurité informatique et Microsoft campe sur ses positions. La firme de Redmond a cependant montré des signes d'ouverture comme avec l'établissement de programmes de récompense pour la découverte de bugs de sécurité. Une ouverture à la communauté qui s'est brouillée il y a peu avec la fin des préavis publics d'avant Patch Tuesday (sauf à payer en étant client du Support Premier).

Complément d'information

Vos commentaires Page 1 / 6

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1828195
Simple question :

Quel est l'intérêt de Google de publier des détails techniques de vulnérabilités affectant Windows 8.1 ?
Le #1828206
FRANCKYIV a écrit :

Simple question :

Quel est l'intérêt de Google de publier des détails techniques de vulnérabilités affectant Windows 8.1 ?


pour poser son chrome OS ! tiens donc...
Le #1828207
alucardx77 a écrit :

FRANCKYIV a écrit :

Simple question :

Quel est l'intérêt de Google de publier des détails techniques de vulnérabilités affectant Windows 8.1 ?


pour poser son chrome OS ! tiens donc...


Alors la je suis pas prêt de me servir de Chrome OS perso ...

Mon Gnu Linux Mint Mate et mon Windows 7 me conviennent parfaitement !
Le #1828212
Google les publie après 90 jours ce qui est déjà trop long pour certaines failles très importantes, surtout s'ils ne sont pas les premiers à la trouver.

Ce n'est pas google qui l'a publié 2 jours trop tôt c'est microsoft qui l'a corrigé 5 jours trop tard.
Le #1828213
alucardx77 a écrit :

FRANCKYIV a écrit :

Simple question :

Quel est l'intérêt de Google de publier des détails techniques de vulnérabilités affectant Windows 8.1 ?


pour poser son chrome OS ! tiens donc...


Chrome OS n'aura jamais la position dominante de Windows Je parie même que d'ici 2 ou 3 ans, cet OS disparaisse purement et simplement du marché.

Malgré les déclarations et les apparences, il est certain que l'objectif de Google n'est pas philanthropique et que c'est une manière détournée de mettre un caillou dans le jardin du voisin Windows n'est que le prétexte car la vraie guerre est ailleurs :

Moteur de recherche : Google Vs Bing
OS Mobile : Android Vs Windows Phone
Messagerie "gratuite" : Gmail Vs Outlook.com
etc ...

Le #1828214
Tirnon a écrit :

Google les publie après 90 jours ce qui est déjà trop long pour certaines failles très importantes, surtout s'ils ne sont pas les premiers à la trouver.

Ce n'est pas google qui l'a publié 2 jours trop tôt c'est microsoft qui l'a corrigé 5 jours trop tard.


Ok mais quel est l'intérêt de les publier publiquement ?
Anonyme
Le #1828217
FRANCKYIV a écrit :

alucardx77 a écrit :

FRANCKYIV a écrit :

Simple question :

Quel est l'intérêt de Google de publier des détails techniques de vulnérabilités affectant Windows 8.1 ?


pour poser son chrome OS ! tiens donc...


Alors la je suis pas prêt de me servir de Chrome OS perso ...

Mon Gnu Linux Mint Mate et mon Windows 7 me conviennent parfaitement !


L'intérêt de Chrome OS, c'est que tu peux faire fonctionner des applis Android dedans, mais également une distribution Linux en mode fenêtrée en plus des applis Google onlie ou offline...
Anonyme
Le #1828218
Tirnon a écrit :

Google les publie après 90 jours ce qui est déjà trop long pour certaines failles très importantes, surtout s'ils ne sont pas les premiers à la trouver.

Ce n'est pas google qui l'a publié 2 jours trop tôt c'est microsoft qui l'a corrigé 5 jours trop tard.


Surtout que si tu ne mets pas la pression sur Microsoft, ils peuvent te laisser moisir des failles connues durant des années !!!
Le #1828219
Arobase40 a écrit :

FRANCKYIV a écrit :

alucardx77 a écrit :

FRANCKYIV a écrit :

Simple question :

Quel est l'intérêt de Google de publier des détails techniques de vulnérabilités affectant Windows 8.1 ?


pour poser son chrome OS ! tiens donc...


Alors la je suis pas prêt de me servir de Chrome OS perso ...

Mon Gnu Linux Mint Mate et mon Windows 7 me conviennent parfaitement !


L'intérêt de Chrome OS, c'est que tu peux faire fonctionner des applis Android dedans, mais également une distribution Linux en mode fenêtrée en plus des applis Google onlie ou offline...


J'ai un smartphone pour utiliser les applications Android.

Confier un système d'exploitation à une société dont le but est l'exploitation des données pour la publicité, très peu pour moi.

Edit :

C'est déjà bien beau si j'ai un smartphone sous Android.
Le #1828221
FRANCKYIV a écrit :

Tirnon a écrit :

Google les publie après 90 jours ce qui est déjà trop long pour certaines failles très importantes, surtout s'ils ne sont pas les premiers à la trouver.

Ce n'est pas google qui l'a publié 2 jours trop tôt c'est microsoft qui l'a corrigé 5 jours trop tard.


Ok mais quel est l'intérêt de les publier publiquement ?


simplement montrer aux clients microsoft combien MS se fout d eux une fois qu ils ont payé.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]