Tavis Ormandy a encore frappé. Par le passé, Microsoft avait été critique envers ce chercheur en sécurité. La firme de Redmond lui avait reproché d'avoir divulgué publiquement une vulnérabilité affectant le service d'aide et support de Windows XP, sans le temps suffisant pour procéder à une correction complète.
L'affaire avait été médiatisée, notamment en raison du fait que Tavis Ormandy est un employé Google, même si celui-ci a toujours indiqué que ses travaux et commentaires n'engageaient que lui et pas Google.
Aujourd'hui, Tavis Ormandy continue de dédouaner Google en s'attaquant à Sophos. Les cordonniers ne sont en effet pas toujours les mieux chaussés. En début de semaine, le chercheur en sécurité a publié et détaillé des vulnérabilités affectant le moteur antivirus de Sophos.
Plusieurs failles peuvent être exploitées par un attaquant afin de prendre le contrôle à distance d'ordinateurs avec des versions non corrigées des logiciels Sophos. Un exploit est fonctionnel avec l'antivirus Sophos en version 8.0.6 pour OS X. D'après, Tavis Ormandy, il est facilement reproductible pour Windows ou Linux.
Heureusement, la plupart des vulnérabilités ont déjà été corrigées par Sophos qui donne des précisions dans un billet de blog. Pour chacune des failles, Sophos indique n'avoir trouvé aucune trace d'exploitation dans la nature. Une faille demeure néanmoins à combler. Elle le sera à partir de la fin du mois.
Sophos aura mis entre 31 et 56 jours pour corriger les problèmes de sécurité d'abord portés à son attention de manière confidentielle par Tavis Ormandy. Pour ce dernier, c'est trop.
Il estime que Sophos n'est pas en mesure de réagir suffisamment vite afin de prévenir des attaques, " même quand un exploit fonctionnel leur est soumis ". Pour Tavis Ormandy, Sophos doit " améliorer en urgence " sa politique de sécurité.
En attendant, il va jusqu'à conseiller de réserver les produits Sophos à des systèmes non critiques et " ne jamais les déployer sur des réseaux ou environnements où une compromission complète par des adversaires serait gênante. "
Alors que certains commentaires du chercheur en sécurité sont sévères. Sophos le remercie pour son travail et pour avoir pris le soin de divulguer confidentiellement les bugs avant de passer à la divulgation publique.
Sur Twitter, Tavis Ormandy prévient qu'il va s'attaquer à d'autres produits que ceux de Sophos pour des " déclarations malhonnêtes sur l'atténuation d'exploits ".