Microsoft n'a pas tardé à réagir à la révélation d'une faille de sécurité Windows révélée le 31 octobre par Google. Un patch correctif est prévu pour le 8 novembre.

« Nous révélons aujourd’hui l’existence d’une faille de sécurité particulièrement importante dans Windows qui ne dispose pour l’instant d’aucune mise à jour corrective. Cette faille est particulièrement dangereuse puisqu’elle est activement utilisée. » Google n’a pas mâché ses mots au moment de dévoiler en détail, lundi 31 octobre, la menace qui plane sur les utilisateurs de Windows.

Une « évasion de sandbox » dénoncée par Google

Dans un post de blog, les chercheurs en sécurité informatique de l’entreprise expliquent avoir alerté Microsoft et Adobe de l’existence de cette faille le 21 octobre. Si Adobe a mis à jour Flash cinq jours plus tard par sécurité, Google a décidé, face à l’inaction de Microsoft, d’informer le public de ce danger. L’entreprise respecte ainsi scrupuleusement sa politique de sécurité adoptée en 2013 : «  Si sept jours se sont écoulés sans qu’un patch correctif ou un avertissement aient été donnés [par l’entreprise concernée], nous soutiendrons les chercheurs qui expliquent publiquement aux utilisateurs comment se protéger eux-mêmes. »

Windows Acer
CC Microsoft Sweden

Google indique au passage que son navigateur, Chrome, garantit la sécurité de ses utilisateurs contre cette faille. Il s’agit d’une « élévation de privilèges  », comme nous l’explique une source qui a souhaité conserver l’anonymat et qui travaille dans la sécurité informatique : « Une sandbox permet de limiter les fonctionnalités auxquelles a accès un processus donné, ce qui inclut les applications. En mettant les processus de son application en sandbox, un développeur ne l’autorise qu’à accéder qu’aux fonctions du système d’exploitation auxquels elle a besoin. Ainsi, même si une application est vulnérable et permet, par exemple, d’exécuter du code malveillant — comme c’était le cas ici avec Flash –, le fait qu’elle soit mise en sandbox va l’interdire malgré tout d’effectuer certaines opérations (par exemple écrire des fichiers sur le disque). »

Concrètement, les dangers sont donc multiples : « La faille en question permet de contourner ces mécanismes de limitation et donc d’utiliser des fonctionnalités dangereuses, comme l’écriture de fichiers sur le disque. Elle peut aussi donner lieu à l’installation de logiciels malveillants et à la récupération de documents stockés sur le disque du poste attaqué. »

« La révélation de Google expose nos utilisateurs à un danger potentiel »

Si l’entreprise a attendu dix jours plutôt que sept avant de révéler cette menace au public. Microsoft n’a pas tardé à riposter par l’intermédiaire de Terry Myerson, vice-président exécutif de Windows ; « Nous sommes convaincus qu’une entreprise technologique responsable doit faire primer le client avant tout et procéder à une révélation coordonnée des failles de sécurité. La décision prise par Google, sans laisser le temps d’assurer de l’efficacité d’un patch correctif, est décevante et accentue la menace potentielle qui plane sur les utilisateurs. »

En attendant la sortie de son patch correctif pour toutes les versions de son OS — dont la sortie est prévue pour le 8 novembre — Microsoft conseille à ses clients de passer à Windows 10. On ne loupe jamais une occasion chez Redmond. L’entreprise assure par ailleurs que les utilisateurs de l’Anniversary Update utilisant le navigateur Edge sont protégés de cette faille.

Partager sur les réseaux sociaux

Articles liés