Google récidive et révèle une faille zero-day dans Windows 8.1

Fin décembre, Google révélait une faille zero-day dans Windows 8.1, autrement dit une faille non encore découverte et pas corrigée pouvant donc être exploitée par des pirates. La méthode a beau être décriée par certains, Google vient de récidiver et de révéler une nouvelle faille de Windows 8.1. Dans les deux cas, ces failles ont été trouvées par les équipes du projet Zero chargées de détecter les zero-day des systèmes. Dès qu’un bug est déniché, Google prévient l’éditeur du logiciel concerné et lui laisse 90 jours pour le corriger. La nouvelle faille révélée dimanche 11 janvier, a ainsi été découverte le 13 octobre.

Mais cette fois-ci, Google semble avoir été un peu trop rigide. Selon le magazine américain The Register, Microsoft prévoyait de résoudre le problème dans son patch Tuesday mensuel prévu pour le 13 janvier. Et Google aurait refusé d’attendre deux jours de plus pour vérifier que la faille était réellement corrigée. En réponse, Chris Betz, directeur au Microsoft Security Response Center, a rédigé un long billet sur le sujet sur le blog de sa division.

Les points de vue et les actions de Microsoft et de Google sont clairement divergents. Google pense que rendre public les bugs, obligent les éditeurs à corriger le problème. Microsoft, de son côté, pense qu’ « il est nécessaire d'évaluer complètement la vulnérabilité potentielle, de concevoir et d’évaluer le paysage des menaces plus larges dans lequel s’inscrit la faille, et, au final, d’émettre un correctif avant que le bug ne soit divulgué au public, y compris à ceux qui voudraient utiliser la vulnérabilité pour orchestrer une attaque » écrit Christ Betz.