Google devrait-il annoncer des vulnérabilités avant qu'elles n'aient été corrigées?

Publicité

Google est imparable. En moins de trois semaines, Google a révélé un total de quatre vulnérabilités Zero Day affectant Windows, deux d'entre elles quelques jours seulement avant que Microsoft ne soit prêt à publier un correctif. Microsoft n'a pas été amusé et à en juger par la réaction de Google, d'autres cas de ce type devraient suivre.

Est-ce la façon dont Google enseigne à ses concurrents d'être plus efficaces? Et les utilisateurs? Le strict respect des délais arbitraires par Google est-il dans notre intérêt?

Pourquoi Google rapporte-t-il des vulnérabilités Windows?

Project Zero, une équipe d'analystes de sécurité de Google, fait des recherches exploits zero day Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf explique] Lire la suite depuis 2014. Le projet a été fondé après qu'un groupe de recherche à temps partiel ait identifié plusieurs bogues logiciels, y compris les problèmes critiques Vulnérabilité Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite .

Dans leurs Annonce de Project Zero, Google a souligné que leur priorité était de sécuriser leurs propres produits. Étant donné que Google ne fonctionne pas en vase clos, leurs recherches s'étendent à tous les logiciels que leurs clients utilisent.

Jusqu'à présent, l'équipe a identifié plus de 200 bogues dans divers produits, notamment Adobe Reader, Flash, OS X, Linux et Windows. Chaque vulnérabilité est signalée au fournisseur de logiciels uniquement et reçoit un délai de grâce de 90 jours, après quoi elle est rendue publique via le Forum de recherche sur la sécurité Google.

Ce bogue est soumis à un délai de divulgation de 90 jours. Si 90 jours s'écoulent sans patch largement disponible, le rapport de bogue sera automatiquement visible par le public.

C’est ce qui est arrivé à Microsoft. Quatre fois. La première vulnérabilité de Windows (problème # 118) a été identifié le 30 septembre 2014 et a ensuite été publié le 29 décembre 2014. Le 11 janvier, quelques jours seulement avant que Microsoft ne soit prêt à publier un correctif via Patch Tuesday Windows Update: tout ce que vous devez savoirWindows Update est-il activé sur votre PC? Windows Update vous protège des vulnérabilités de sécurité en gardant Windows, Internet Explorer et Microsoft Office à jour avec les derniers correctifs de sécurité et corrections de bogues. Lire la suite , la deuxième vulnérabilité (problème # 123) a été rendu public, ouvrant un débat sur la question de savoir si Google n'aurait pas pu attendre. Quelques jours plus tard, deux autres vulnérabilités (problème # 128 & numéro 138) est apparu sur la base de données publique, aggravant encore la situation.

Que s'est-il passé dans les coulisses?

Le premier problème (# 118) était une vulnérabilité critique d'élévation de privilèges, affectant Windows 8.1. Selon The Hacker News, il "pourrait permettre à un pirate de modifier le contenu ou même de prendre complètement le contrôle des ordinateurs des victimes, laissant des millions d'utilisateurs vulnérables“. Google n'a révélé aucune communication avec Microsoft concernant ce problème.

Pour le deuxième problème (# 123), Microsoft a demandé une extension, et lorsque Google l'a refusée, ils ont fait des efforts pour publier le correctif un mois plus tôt. Voici les commentaires de James Forshaw:

Microsoft a confirmé qu'ils étaient sur le point de fournir des correctifs pour ces problèmes en février 2015. Ils ont demandé si cela causerait un problème avec le délai de 90 jours. Microsoft a été informé que le délai de 90 jours est fixé pour tous les fournisseurs et classes de bogues et ne peut donc pas être prolongé. De plus, ils ont été informés que le délai de 90 jours pour ce numéro expirait le 11 janvier 2015.

Microsoft a publié des correctifs pour les deux problèmes avec la mise à jour mardi en janvier.

Avec le troisième problème (# 128), Microsoft a dû retarder un correctif en raison de problèmes de compatibilité.

Microsoft nous a informés qu'un correctif était prévu pour les correctifs de janvier mais doit être retiré en raison de problèmes de compatibilité. Par conséquent, le correctif est désormais attendu dans les correctifs de février.

Même si Microsoft a informé Google qu'il travaillait sur le problème, mais qu'il rencontrait des difficultés, Google est allé de l'avant et a publié la vulnérabilité. Aucune négociation, aucune pitié.

Pour le dernier problème (# 138), Microsoft a décidé de ne pas le corriger. James Forshaw a ajouté le commentaire suivant:

Microsoft a conclu que le problème ne respectait pas la barre d'un bulletin de sécurité. Ils affirment que cela exigerait trop de contrôle de la part de l'attaquant et ils ne considèrent pas les paramètres de stratégie de groupe comme une fonction de sécurité.

Le comportement de Google est-il acceptable?

Microsoft ne le pense pas. Dans une réponse approfondie, Chris Betz, directeur principal du Microsoft Security Research Center, appelle à une divulgation des vulnérabilités mieux coordonnée. Il souligne que Microsoft croit en Divulgation coordonnée des vulnérabilités (CVD), une pratique dans laquelle les chercheurs et les entreprises collaborent sur les vulnérabilités pour minimiser les risques pour les clients.

En ce qui concerne les événements récents, Betz confirme que Microsoft a spécifiquement demandé à Google de travailler avec eux et de cacher les détails jusqu'à ce que les correctifs soient distribués pendant le Patch Tuesday. Google a ignoré la demande.

Bien que le respect du délai annoncé par Google pour la divulgation, la décision ressemble moins à des principes qu'à un «piège», les clients étant ceux qui pourraient en souffrir.

Selon Betz, les vulnérabilités révélées publiquement subissent des attaques orchestrées de cybercriminels, un agir à peine vu lorsque les problèmes sont divulgués en privé via CVD et corrigés avant que les informations ne deviennent Publique. En outre, Betz dit que toutes les vulnérabilités ne sont pas égales, ce qui signifie que le délai dans lequel un problème est corrigé dépend de sa complexité.

Son appel à la collaboration est fort et clair et ses arguments sont solides. La réflexion selon laquelle aucun logiciel n'est parfait parce qu'il est créé par de simples humains fonctionnant avec des systèmes complexes, est attachante. Betz frappe le clou sur la tête quand il dit:

Ce qui est bon pour Google ne l'est pas toujours pour les clients. Nous exhortons Google à faire de la protection des clients notre objectif principal collectif.

L'autre point de vue est que Google a une politique établie et ne veut pas céder la place aux exceptions. Ce n'est pas le genre de rigidité que vous attendez d'une entreprise ultra moderne comme Google. De plus, publier non seulement la vulnérabilité, mais aussi le code d'exploitation est irresponsable, étant donné que des millions d'utilisateurs pourraient être touchés par une attaque concertée.

Si cela se reproduit, que pouvez-vous faire pour protéger votre système?

Aucun logiciel ne sera jamais à l'abri d'exploits zero day. Vous pouvez augmenter votre propre sécurité en adoptant une hygiène de sécurité de bon sens. Voici ce que Microsoft recommande:

Nous encourageons les clients à conserver leur Logiciel antivirus Le meilleur logiciel PC pour votre ordinateur WindowsVous voulez le meilleur logiciel PC pour votre ordinateur Windows? Notre liste massive rassemble les programmes les meilleurs et les plus sûrs pour tous les besoins. Lire la suite à jour, installer toutes les mises à jour de sécurité disponibles 3 raisons pour lesquelles vous devriez exécuter les derniers correctifs et mises à jour de sécurité WindowsLe code qui compose le système d'exploitation Windows contient des trous de boucle de sécurité, des erreurs, des incompatibilités ou des éléments logiciels obsolètes. En bref, Windows n'est pas parfait, nous le savons tous. Les correctifs de sécurité et les mises à jour corrigent les vulnérabilités ... Lire la suite et activer la pare-feu Le meilleur logiciel PC pour votre ordinateur WindowsVous voulez le meilleur logiciel PC pour votre ordinateur Windows? Notre liste massive rassemble les programmes les meilleurs et les plus sûrs pour tous les besoins. Lire la suite sur leur ordinateur.

Notre verdict: Google aurait dû coopérer avec Microsoft

Google a respecté son délai arbitraire, plutôt que d'être flexible et d'agir dans le meilleur intérêt de leurs utilisateurs. Ils auraient pu prolonger le délai de grâce pour révéler les vulnérabilités, en particulier après que Microsoft a annoncé que les correctifs étaient (presque) prêts. Si le noble objectif de Google est de rendre Internet plus sûr, ils doivent être prêts à coopérer avec d'autres sociétés.

Pendant ce temps, Microsoft aurait probablement pu consacrer plus de ressources au développement de correctifs. 90 jours est considéré comme un délai suffisant par certains. En raison de la pression de Google, ils ont en fait poussé un correctif un mois plus tôt que prévu initialement. Il semble presque qu’ils n’ont pas priorisé le problème suffisamment à l’origine.

En règle générale, si le fournisseur de logiciels signale qu'il travaille sur le problème, des chercheurs comme l'équipe Project Zero de Google doivent coopérer et prolonger les délais de grâce. Garder bientôt vulnérabilité corrigée Les utilisateurs de Windows se méfient: vous avez un grave problème de sécurité Lire la suite secret semble être plus sûr que d'attirer l'attention des pirates. La sécurité des clients ne devrait-elle pas être la priorité absolue d'une entreprise?

Qu'est-ce que tu penses? Quelle aurait été une meilleure solution ou est-ce que Google a fait la bonne chose après tout?

Crédits image: sorcier Via Shutterstock, Piraté par wk1003mike via Shutterstock, Red Rope par Mega Pixel via Shutterstock