La semaine dernière, Adobe a publié en urgence une mise à jour de sécurité pour Flash Player afin de combler une vulnérabilité critique rapportée par des chercheurs en sécurité du Threat Analysis Group de Google. Faisant l'objet d'une exploitation dans des attaques en cours, cette faille avait été communiquée à Adobe le 21 octobre. L'éditeur a ainsi diffusé un patch cinq jours plus tard.

zero-day Ce même 21 octobre, Google avait prévenu Microsoft au sujet d'une vulnérabilité de type élévation de privilèges affectant le noyau Windows. Activement exploitée, elle peut être utilisée en tant que mesure de contournement d'une protection sandbox via des appels système win32k.sys, et pour exécuter du code sur une machine compromise.

En vertu de sa politique sur la divulgation de failles critiques, Google a attendu sept jours - après avoir prévenu Microsoft - pour publier des détails au sujet de la vulnérabilité dans le kernel Windows. Entre-temps, Microsoft n'a pas publié d'avis de sécurité, de mesures visant à atténuer les effets d'une exploitation, et a fortiori... pas de patch pour cette 0-day.

Alors que Google précise que la vulnérabilité est atténuée dans son navigateur Chrome sur Windows 10, Microsoft n'a pas du tout apprécié une telle divulgation publique. " Nous croyons en la divulgation coordonnée de vulnérabilité. La divulgation de Google pourrait mettre en danger les utilisateurs. " Ce n'est du reste pas la première fois que Microsoft critique ce genre d'initiative de Google.

Google donne 60 jours aux développeurs pour corriger une vulnérabilité critique découverte par ses chercheurs en sécurité. Comme dans le cas présent, ce délai est réduit à seulement sept jours si la vulnérabilité est activement exploitée. De quoi mettre la pression sur les éditeurs concernés. Manifestement, ce délai peut convenir à Adobe pour Flash Player, mais il est trop court pour élaborer un patch à destination de Windows (le contrôle qualité est par exemple plus complexe). Microsoft aurait cependant pu diffuser un avis de sécurité.

Si l'on peut comprendre l'énervement de Microsoft à l'égard de Google, cela revient à un vieux débat dans le domaine de la sécurité informatique qui n'a jamais été réellement tranché autour d'une divulgation dite responsable des failles. Quand il y a exploitation, faut-il taire une menace ?


Une exploitation par un groupe russe
Presque dans l'obligation de parler, Microsoft indique que son patch viendra le 8 novembre prochain pour Windows Vista à 10. Il n'y aura ainsi pas de publication hors-cycle ou en urgence. Ce sera le deuxième mardi du mois comme d'habitude.

La firme de Redmond explique que la faille dans le noyau Windows est exploitée dans des attaques ciblées - et pas pour l'utilisateur lambda - en association avec celle dans Flash Player pour d'abord prendre le contrôle du processus du navigateur. De fait, le patch d'Adobe doit permettre de contrecarrer des attaques.

Véhiculées par du phishing, les attaques sont attribuées à un groupe dénommé Strontium. Il est autrement connu en tant que APT28 et Fancy Bears. Ce groupe russe de cyberespionnage est notamment suspecté d'être impliqué dans le piratage du réseau informatique du Comité national démocrate américain.

Selon Microsoft, les utilisateurs de son navigateur Edge et de Windows 10 Anniversary Update n'étaient pas vulnérables aux attaques observées.

" La décision de Google de divulguer ces vulnérabilités avant que des patchs ne soient largement disponibles et testés est décevante, et fait courir un risque accru aux consommateurs ", écrit Terry Myerson, vice-président de Microsoft en charge de Windows et des appareils.