Clicky



Bons Plans

Sécurité : Microsoft tape encore sur les doigts de Google

Publié le

Microsoft déplore le fait que Google ait encore une fois été trop hâtif dans l’annonce d’une faille de sécurité sur Windows 8.1.

Le torchon brûle entre Google et Microsoft pour des questions de sécurité et de divulgation des failles parfois trop hâtive. C’est en effet ce que reproche Chris Betz, responsable de la sécurité chez Microsoft aux équipes de Google qui diffuserait trop rapidement sur ses sites les informations quant aux failles de sécurité rencontrées sur les produits de Redmond.

Après une première altercation entre les deux géants en 2010, Microsoft reprend une nouvelle fois la firme de Mountain View de volée.

Microsoft remet en cause le Full Disclosure

C’est le 11 janvier 2015 que Google a publié l’information qui a mis le feu aux poudres. Les équipes du Google Security Research ont en effet mis en ligne les détails d’une faille de vulnérabilité sur Windows 8.1. Cette dernière permettait aux personnes mal intentionnées de changer les rôles utilisateurs sur une machine et ainsi se proclamer administrateurs.

Une publication un peu trop rapide au goût de Microsoft qui était sur le point de dévoiler un correctif tout en expliquant que Google avait été trop alarmiste sur la nature même de la faille. De son côté, Google se défend en expliquant avoir attendu le délai de 90 jours (Full Disclosure) qui, une fois passé, permet de divulguer la faille au grand public si l’éditeur ne l’a pas encore corrigée.

Google met les utilisateurs en danger selon Chris Betz

La firme de Redmond reproche donc à Google d’avoir voulu faire un coup de com’ alors qu’elle avait été prévenue qu’un patch allait sortir deux jours plus tard suite à la journée traditionnelle du « Patch Tuesday ». « Ce qui est juste pour Google ne l’est pas toujours pour nos clients. Nous demandons instamment à Google de faire collectivement de la protection des clients notre objectif principal » déplore Chris Betz.

Ce dernier s’insurge contre le “full disclosure”  qui augmenterait selon lui le risque d’exploitation des failles alors que lorsque leur mise en lumière est coordonnée à la sortie d’un patch, le risque de voir les hackers en profiter est minime. Chris Betz milite également pour que le full disclosure s’adapte en fonction de la gravité de la faille détectée afin de laisser le temps aux développeurs corriger le problème.

Vous avez aimé cet article ?
Topic Associés
Commentaires
Test produits
Longform