Le responsable du centre de réponse aux problèmes de sécurité de Microsoft l'a pour ainsi dire mauvaise et sous-entend que c'est un coup bas volontairement porté par Google. Chris Betz reproche au Projetct Zero de Google d'avoir publié des détails techniques de vulnérabilités affectant Windows 8.1 avant la disponibilité d'un correctif.

Microsoft-logo À quelques jours près, cela vient de se produire à deux reprises, soit en l'occurrence pour deux vulnérabilités de type élévation de privilèges dont la première avait été évoquée dans nos colonnes. Pour la deuxième qui concentre les critiques de Microsoft, la divulgation publique a eu lieu le 11 janvier, alors qu'une correction est programmée pour le 13 janvier dans le cadre du premier Patch Tuesday de l'année.

Microsoft avait demandé à Google d'attendre le 13 janvier pour sa publication, mais c'était deux jours de trop pour retenir sa langue. Le Project Zero a aveuglément suivi sa politique de divulgation publique de 90 jours après avoir notifié un éditeur. On peut comprendre qu'à deux jours près... cela agace.

Pour Chris Betz, " ce qui est bon pour Google n'est pas toujours bon pour les clients. Nous demandons instamment à Google de faire de la protection des clients notre objectif collectif principal ". Un appel afin que Google révise certaines de ses positions avec le Project Zero mais qui devrait resté lettre morte.

Par ailleurs, on rappellera que Google ne joue pas toujours les franc-tireurs et ses ingénieurs signalent régulièrement de manière confidentielle des vulnérabilités à Microsoft et ne dégainent pas une divulgation publique avant le Patch Tuesday salvateur.

Impliqué dans le Project Zero, le chercheur en sécurité James Forshaw avait défendu celui-ci en expliquant qu'il donne aux éditeurs de logiciels " un laps de temps juste et raisonnable pour leur procédure de gestion des vulnérabilités, tout en respectant les droits des utilisateurs d'apprendre et comprendre les risques auxquels ils sont confrontés. "

Mais pour Chris Betz de Microsoft, cette pratique augmente significativement les risques pour les utilisateurs et ne prend pas suffisamment en compte l'hétérogénéité de la sévérité des vulnérabilités qui parfois s'inscrivent dans des environnements complexes. Bref, Microsoft ne jure que par la pleine collaboration entre l'éditeur et les chercheurs en sécurité.

C'est un vieux débat au sein de la communauté des experts en sécurité informatique et Microsoft campe sur ses positions. La firme de Redmond a cependant montré des signes d'ouverture comme avec l'établissement de programmes de récompense pour la découverte de bugs de sécurité. Une ouverture à la communauté qui s'est brouillée il y a peu avec la fin des préavis publics d'avant Patch Tuesday (sauf à payer en étant client du Support Premier).

Source : Microsoft