Google annonce avoir comblé la faille qui affectait son logiciel Desktop Search.

Lorsque, la semaine dernière, Matan Gillon, un expert israëlien en sécurité informatique déclarait avoir identifié une faille critique sur le programme Desktop Search de Google, il a créé un certain émoi. L’éditeur de Moutain View, Californie, ne pouvait décemment laisser ignorer cette vulnérabilité, aussi y apporte-t-il une solution.

Liée à la manière dont Internet Explorer gère les CSS (Cascading Style Sheets), la faille en question pouvait autoriser un pirate à prendre le contrôle d’un PC à distance, avec les conséquences que l’on devine. Matan Gillon s’était rendu compte qu’en ouvrant dans Internet Explorer une page Web qu’il avait lui-même piégé tout en utilisant Google Desktop Search, ce dernier pouvait révéler sur ladite page des détails (nom d’utilisateur et mot de passe) qui n’auraient normalement pas dû apparaître. Inutile de vous expliquer ce qu’un pirate informatique pourrait faire avec de telles données…

On pourrait penser que la faute incombe dans ce cas à Microsoft et à la manière dont son Internet Explorer gère ces formats unifiés de pages Web que sont les CSS, mais il s’agit bien en fait d’une limite mal définie des paramètres de recherche de Google Desktop Search ; ce dernier ne peut désormais plus être déclenché à distance, ce qui rend les tentatives de piratage plus difficiles. Evidémment, si le pirate est un membre de votre famille, Google ne peut pas grand-chose pour vous…

Dans la guerre que se livrent les éditeurs autour de la recherche sur disque dur, Google devait couper court à toute polémique, et il a été bien aidé par le fait que la faille pouvait être réglée directement sur ses serveurs, sans nécessiter d’opération de mise à jour sur les logiciels qu’utilisent ses clients. Chez Google, on souligne que de telles attaques pourront se reproduire à l’avenir, tant que la manière dont Internet Explorer gère les CSS n’aura pas été revue en détail.

Mais la balle est désormais dans le camp de Microsoft. Chez Google, on affirme avoir "pris ses responsabilités", et on regrette que Gillon n'ait pas mieux assumé les siennes, en dévoilant une telle vulnérabilité sans en avoir au préalable notifié Microsoft et Google.

Comme quoi, il vaut mieux ne pas avoir raison trop tôt…