Google deviendrait-il coutumier du fait dans la divulgation d'informations sur des vulnérabilités zero day de Microsoft ? Si les équipes de sécurité Project Zero de la firme de Mountain View sont spécialisées dans la chasse aux vulnérabilités dans tous les types de logiciels, ceux du géant de Redmond semblent avoir toutefois leurs faveurs. Cela fait en effet plusieurs années que les équipes de Google dévoilent, comme en 2015 ou encore en 2016, des failles affectant les produits Microsoft en donnant, 90 jours après avoir informé l'éditeur, les informations permettant potentiellement à des pirates de les exploiter.
Cette fois, c'est Edge qui a fait les frais de la politique intransigeante de Google en matière de découverte de failles. Après avoir annoncé en novembre dernier la découverte de trous de sécurité dans le navigateur web de Microsoft permettant de contourner le mécanisme de protection d'exécution de code arbitraire, la team Project Zero en a livré les détails. « Le correctif est plus complexe qu'initialement anticipé, et il est fort probable que nous ne serons pas en mesure de respecter la deadline de février en raison de problèmes de gestion de mémoire », a répondu l'équipe de recherche en sécurité de Microsoft. Après avoir raté le coche de sa salve de correctifs de février, Microsoft estime être en mesure de corriger cette faille le mois prochain, à savoir le 13 mars.
Réponse à César et visiteur 11254. Voyons Messieurs/Dames, ne leur jetez pas la pierre ! Ils ne savent pas faire, au mieux pas bien faire et comptent sur l'I.A. pour faire avancer le métier. Laquelle se passera d'eux d'ci deux décennies environ..... Et de nous...
Signaler un abusRemarque très pertinente, qui pose, à nouveau, une question de responsabilité.
Signaler un abusJe ne suis pas juriste et n'ai pas étudié les conditions, en cascade dans les contrats entre, par exemple, Google (ou l'entité juridique "indépendante" probablement selon le droit californien) qui fournit la version vv.vv.vv.vv (plus patches ?), le fournisseur du smartphone, exemple samsung, avec toute une série d'obligations qui maintiennent le lien avec lui (cession d'un usage excluant la levée de certains verrous: moteur de recherche ...) l'opérateur télécom, ex Orange qui "vend" le "produit" à son "client" français, en France .
Cette transaction est, je crois, soumise au code civil en matière de vice caché.
Si une faille de l'OS permet à des personnes d'entrer dans le système de façon frauduleuse, est-ce qualifiable de "vice caché" au sens du code civil ?
"Article 1641 (Créé par Loi 1804-03-06 promulguée le 16 mars 1804)
Le vendeur est tenu de la garantie à raison des défauts cachés de la chose vendue qui la rendent impropre à l'usage auquel on la destine, ou qui diminuent tellement cet usage que l'acheteur ne l'aurait pas acquise, ou n'en aurait donné qu'un moindre prix, s'il les avait connus."
Cela permet-il de saisir la justice (laquelle ? ) et demander des dédommagements au fournisseur du "produit" incluant un logiciel défaillant (dans mon exemple Orange qui se retournerait éventuellement vers Samsung, lui même vers Google)?
Je pensais la même chose que Cesar etant donné les failles déjà decouverte dans android et qui ne seront pas corrigé pour 80% des mobiles sans parler des objets connectés fautes de maj des constructeurs, ça pourrait bien revenir en pleine face à Google un jour. Microsoft à la main sur ces systèmes et peut même proposer des maj sur des vieux systèmes plus maintenu en cas de "drame" comme XP pour ne pas le citer. Alors que pour Android... C'est le constructeur (et l'operateur également si telephone acheté chez un operateur) qui doivent adapter et deployer les patchs de google et peux le font, et quand ils le font c'est rarement pendant plus de 2 ans et avec un delais de plusieurs mois...
Signaler un abusIl semblerait, une fois de plus, que le découplage entre le navigateur ("butineur") internet et les couches "vitales" du noyau de l'OS soit, structurellement insuffisant.
Signaler un abusC'est un peu ce que je ciblais il y a déjà 4 ans :
https://www.linkedin.com/pulse/objets-connect%C3%A9s-la-france-est-elle-condamn%C3%A9e-%C3%A0-urban-galindo/
Google semble être très efficace pour trouver "des pailles dans l’œil du voisin, est-il aussi efficace pour trouver les poutres qui seraient dans le sien" Android pour le pas le nommer ?
D'autres organisations sont-elles à l'affût des failles d'Android ? Communiquent-elles sur leurs éventuelles découvertes ?