Ingénieur Google, Tavis Ormandy a récemment fait parler de lui en divulguant publiquement une vulnérabilité affectant le service d'aide et support de Windows XP. Le 29 juin dernier, Microsoft a indiqué que via cette vulnérabilité le cap des 10 000 PC attaqués à travers le monde a été franchi.

La firme de Redmond a été très critique à l'égard de l'attitude de Tavis Ormandy, et on imagine que sa qualité de Googler a particulièrement incité Microsoft à enfoncer le clou, même si en l'occurrence le chercheur a toujours clamé avoir agi en son nom.

Microsoft a sévèrement mis en cause Tavis Ormandy, estimant que ce dernier ne lui avait pas donné assez de temps pour la mise au point d'un correctif, soit seulement quatre jours, avant de procéder à la divulgation publique. Microsoft a notamment souligné qu'un tel processus de correction est complexe afin d'éliminer toutes les racines du problème, et qu'en agissant de la sorte Tavis Ormandy a mis en péril la sécurité des utilisateurs finaux.


Des chercheurs énervés adeptes du full disclosure
Plusieurs pairs de Tavis Ormandy ont visiblement été exaspérés par le ton hautement réprobateur de  Microsoft. Sous couvert d'anonymat, ils ont formé le groupe Microsoft Spurned Researcher Collective ( le collectif des chercheurs rejeté par Microsoft ) et en l'occurrence un petit pied de nez au groupe officiel de sécurité du géant du logiciel : Microsoft Security Response Center.

Le Microsoft Spurned Researcher Collective promet de mener en quelque sorte la vie dure à Microsoft, puisque les chercheurs en sécurité informatique qui composent ce collectif ont promis de divulguer publiquement les vulnérabilités qu'ils découvriront sur leur temps libre. Les représailles ont d'ailleurs déjà commencé.

Heureusement, d'une certaine manière, la première salve n'est pas véritablement critique mais a tout de même été confirmée tant par Secunia que VUPEN. Une vulnérabilité 0-day affectant Windows Vista et Windows 2008. Son exploitation permet un déni de service voire une élévation de privilèges mais elle ne peut se faire que localement.

Reste maintenant à voir jusqu'où ira le Microsoft Spurned Researcher Collective. En tout cas au moins jusqu'à l'humour provocateur si l'on en juge par une pseudo mesure de contournement évoquée et à l'intention de Microsoft : dans la base de registre, se rendre à la clé HKCU\Microsoft\Windows\CurrentVersion\Security et mettre la valeur booléenne OurJob à False. Une manière détournée de dire que Microsoft ne fait pas son boulot en ce qui concerne la sécurité et les vulnérabilités.