Le couteau sous la gorge, Microsoft a été obligé d’intégrer plus rapidement un correctif pour une vulnérabilité zero day dans Windows (une élévation des privilèges dans le noyau de l’OS). Lundi dernier, soit 10 jours après l’avoir notifié à Microsoft (le 21 octobre donc), Google a dévoilé cette faille qui commençait à être exploitée par des cyberpirates.
« Toutes les versions de Windows sont maintenant testées ... et nous prévoyons de publiquement publier [les correctifs] lors de la prochaine mise à jour mardi 8 novembre », a écrit Terry Myerson, le chef du groupe Windows et appareils, dans un post sur le blog TechNet de Microsoft. Des hackers russes du groupuscule Strontium ont toutefois déjà réussi à pénétrer le Democratic National Committee (DNC) - l’organisme politique américain chargé de diriger le Parti Démocrate - présidé par Donna Brazile.
Des failles exploitées de plus en plus rapidement
« Microsoft a attribué plus d'exploits [zéro day] à Strontium que tout autre groupe suivi en 2016 », a écrit M. Myerson. « Strontium utilise fréquemment des comptes de courrier électronique compromis d'une victime pour envoyer des courriels malveillants à une deuxième victime et poursuivra des objectifs spécifiques pendant des mois jusqu'à ce qu'ils réussissent à compromettre l'ordinateur des victimes ». Les autorités américaines ont accusé le mois dernier le gouvernement russe de la responsabilité ultime du hack de la DNC, affirmant que de hauts responsables russes étaient derrière cette opération.
Terry Myerson a également vivement critiqué la décision de Google de divulguer cette vulnérabilité Windows. « Nous croyons que la participation responsable de l'industrie des technologies place le client en premier et exige une divulgation coordonnée des vulnérabilités », a-t-il déclaré. « La décision de Google de divulguer ces vulnérabilités avant que les correctifs ne soient largement disponibles et testés est décevante, et soumet les clients à un risque accru. » Google s’est défendu en affirmant avoir simplement appliqué sa politique de divulgation des failles puisque des cyberpirates avaient commencé à l’exploiter. Les tensions entre les deux sociétés au sujet de la divulgation de failles zero day ont démarré en 2010, quand un ingénieur en sécurité de Google, Tavis Ormandy, avait révélé publiquement une vulnérabilité critique dans Windows cinq jours seulement après l’avoir notifiée à Microsoft.