Google devrait-il annoncer les vulnérabilités avant qu’elles n’aient été corrigées?
Google est imparable. En moins de trois semaines, Google a révélé un total de quatre vulnérabilités zéro jour affectant Windows, dont deux quelques jours à peine avant que Microsoft soit prêt à publier un correctif. Microsoft n’était pas amusé et à en juger par la réaction de Google, il est probable que de tels cas suivront.
Est-ce que cette façon d'enseigner à ses concurrents d'être plus efficace? Et qu'en est-il des utilisateurs? Le respect strict des délais arbitraires par Google est-il dans notre intérêt??
Pourquoi les vulnérabilités de Google Reporting dans Windows?
Project Zero, une équipe d'analystes de la sécurité Google, a effectué des recherches sur les exploits du jour zéro. Qu'est-ce qu'une vulnérabilité au jour zéro? [MakeUseOf explique] Qu'est-ce qu'une vulnérabilité de jour zéro? [MakeUseOf explique] Lire la suite depuis 2014. Le projet a été créé après qu'un groupe de recherche à temps partiel ait identifié plusieurs bogues logiciels, dont la vulnérabilité critique Heartbleed, Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite .
Dans son annonce sur le projet zéro, Google a souligné que la priorité absolue était de sécuriser ses propres produits. Comme Google ne fonctionne pas en vase clos, leurs recherches s’étendent à tous les logiciels utilisés par leurs clients..
Jusqu'à présent, l'équipe a identifié plus de 200 bogues dans divers produits, notamment Adobe Reader, Flash, OS X, Linux et Windows. Chaque vulnérabilité est signalée uniquement au fournisseur de logiciel et reçoit un délai de grâce de 90 jours, à la suite duquel elle est rendue publique via le forum Google Security Research..
Ce bogue est soumis à un délai de divulgation de 90 jours. Si 90 jours s'écoulent sans aucun correctif largement disponible, le rapport de bogue sera automatiquement visible par le public..
C'est ce qui est arrivé à Microsoft. Quatre fois. La première vulnérabilité de Windows (numéro 118) a été identifiée le 30 septembre 2014 et publiée par la suite le 29 décembre 2014. Le 11 janvier, quelques jours à peine avant que Microsoft ne soit prêt à proposer un correctif via Patch Tuesday, Windows Update: Tout ce dont vous avez besoin connaître Windows Update: tout ce que vous devez savoir Windows Update est-il activé sur votre PC? Windows Update vous protège des vulnérabilités de sécurité en maintenant Windows, Internet Explorer et Microsoft Office à jour avec les derniers correctifs de sécurité et correctifs. En savoir plus, la deuxième vulnérabilité (numéro 123) a été rendue publique, ouvrant un débat sur le point de savoir si Google n'aurait pas pu attendre. Quelques jours plus tard, deux autres vulnérabilités (numéros 128 et 138) sont apparues dans la base de données publique, ce qui a aggravé la situation..
Ce qui s'est passé dans les coulisses?
Le premier problème (n ° 118) était une vulnérabilité critique d'élévation de privilèges, affectant Windows 8.1. Selon The Hacker News, il serait “pourrait permettre à un pirate informatique de modifier le contenu ou même de s'emparer complètement des ordinateurs des victimes, laissant ainsi des millions d'utilisateurs vulnérables“. Google n'a révélé aucune communication avec Microsoft concernant ce problème..
Pour le deuxième problème (n ° 123), Microsoft a demandé une extension et, lorsque Google l'a refusée, ils ont tenté de publier le correctif un mois plus tôt. Ce sont les commentaires de James Forshaw:
Microsoft a confirmé être en passe de fournir des correctifs pour ces problèmes en février 2015. Ils ont demandé si cela poserait un problème avec le délai de 90 jours. Microsoft a été informé que le délai de 90 jours était fixé pour tous les fournisseurs et toutes les classes de bogues et qu'il ne pouvait donc pas être prolongé. En outre, ils ont été informés que le délai de 90 jours pour cette émission expirait le 11 janvier 2015..
Microsoft a publié des correctifs pour les deux problèmes avec Update Tuesday en janvier.
Avec le troisième problème (n ° 128), Microsoft a dû différer un correctif en raison de problèmes de compatibilité..
Microsoft nous a informés qu'un correctif était prévu pour les correctifs de janvier mais devait être retiré en raison de problèmes de compatibilité. Par conséquent, le correctif est maintenant attendu dans les correctifs de février..
Même si Microsoft a informé Google qu'ils travaillaient sur le problème, mais confronté à des difficultés, Google a décidé de publier la vulnérabilité. Pas de négociation, pas de pitié.
Pour le dernier numéro (n ° 138), Microsoft a décidé de ne pas le réparer. James Forshaw a ajouté le commentaire suivant:
Microsoft a conclu que le problème ne répondait pas à la barre d'un bulletin de sécurité. Ils affirment que cela exigerait trop de contrôle de la part de l'attaquant et ils ne considèrent pas les paramètres de stratégie de groupe comme une fonctionnalité de sécurité..
Le comportement de Google est-il acceptable??
Microsoft ne le pense pas. Chris Betz, directeur principal du Centre de recherche sur la sécurité Microsoft, a appelé à une divulgation mieux coordonnée des vulnérabilités. Il souligne que Microsoft croit en la divulgation coordonnée de vulnérabilité (CVD), une pratique dans laquelle les chercheurs et les entreprises collaborent sur les vulnérabilités afin de minimiser les risques pour les clients..
En ce qui concerne les événements récents, Betz confirme que Microsoft a spécifiquement demandé à Google de travailler avec eux et de ne divulguer aucun détail jusqu'à ce que les correctifs soient distribués au cours du correctif mardi. Google a ignoré la demande.
Bien que le respect du calendrier annoncé par Google en matière de divulgation soit respecté, la décision est moins celle d'un principe que celle d'un principe. “je t'ai eu”, avec les clients ceux qui peuvent en souffrir.
Selon Betz, des vulnérabilités révélées publiquement font l'objet d'attaques orchestrées par des cybercriminels, un acte rarement observé lorsque des problèmes sont révélés de manière privée par le biais de droits compensateurs et corrigés avant que les informations ne deviennent publiques. De plus, selon Betz, toutes les vulnérabilités ne sont pas égales, ce qui signifie que la chronologie dans laquelle un problème est corrigé dépend de sa complexité..
Son appel à la collaboration est fort et ses arguments sont solides. Le fait qu’aucun logiciel n’est parfait parce qu’il est fait par de simples humains fonctionnant avec des systèmes complexes est attachant. Betz frappe le clou sur la tête quand il dit:
Ce qui convient à Google ne convient pas toujours aux clients. Nous demandons instamment à Google de faire de la protection de la clientèle son objectif premier.
L'autre point de vue est que Google a une politique établie et ne veut pas céder le pas aux exceptions. Ce n’est pas le genre de rigidité que vous attendez d’une entreprise ultra moderne comme Google. De plus, publier non seulement la vulnérabilité, mais aussi le code d'exploitation est irresponsable, étant donné que des millions d'utilisateurs pourraient être touchés par une attaque concertée.
Si cela se reproduit, que pouvez-vous faire pour protéger votre système??
Aucun logiciel ne sera jamais à l'abri des exploits du jour zéro. Vous pouvez augmenter votre propre sécurité en adoptant une hygiène de sécurité sensée. Voici ce que Microsoft recommande:
Nous encourageons les clients à conserver leur logiciel anti-virus Meilleur logiciel Windows Meilleur logiciel Windows Windows nage dans une mer d'applications gratuites. Lesquels pouvez-vous faire confiance et lesquels sont les meilleurs? Si vous n'êtes pas sûr ou si vous avez besoin de résoudre une tâche spécifique, consultez cette liste. Pour en savoir plus, installez toutes les mises à jour de sécurité disponibles. 3 raisons pour lesquelles vous devez exécuter les derniers correctifs et mises à jour de sécurité Windows. 3 raisons pour lesquelles vous devez exécuter les derniers correctifs et mises à jour de sécurité Windows. Le code qui constitue le système d'exploitation Windows contient des éléments de sécurité. boucles, erreurs, incompatibilités ou éléments logiciels obsolètes. En bref, Windows n'est pas parfait, nous le savons tous. Les correctifs et les mises à jour de sécurité corrigent les vulnérabilités… Lisez-en plus et activez le pare-feu Le meilleur logiciel Windows Le meilleur logiciel Windows Windows nage dans une mer d'applications gratuites. Lesquels pouvez-vous faire confiance et lesquels sont les meilleurs? Si vous n'êtes pas sûr ou si vous avez besoin de résoudre une tâche spécifique, consultez cette liste. Lire la suite sur leur ordinateur.
Notre verdict: Google aurait dû coopérer avec Microsoft
Google a respecté son échéancier arbitraire, plutôt que d'être flexible et d'agir dans le meilleur intérêt des utilisateurs. Ils auraient pu prolonger le délai de grâce pour révéler les vulnérabilités, en particulier après que Microsoft ait communiqué que les correctifs étaient (presque) prêts. Si le noble objectif de Google est de rendre Internet plus sûr, il doit être prêt à coopérer avec d'autres entreprises..
Pendant ce temps, Microsoft aurait peut-être pu consacrer plus de ressources au développement de correctifs. 90 jours est considéré comme un délai suffisant par certains. En raison de la pression exercée par Google, ils ont en fait sorti un correctif un mois plus tôt que prévu initialement. On dirait presque qu'ils n'ont pas donné la priorité au problème à l'origine.
Généralement, si le fournisseur de logiciel indique qu'il travaille sur le problème, les chercheurs tels que l'équipe Project Zero de Google doivent coopérer et prolonger les délais de grâce. Garder une vulnérabilité qui va bientôt être corrigée Utilisateurs Windows Attention: vous avez un grave problème de sécurité Utilisateurs Windows: un problème de sécurité grave Lisez plus, le secret semble être plus sûr que d'attirer l'attention des pirates. La sécurité des clients ne devrait-elle pas être la priorité des entreprises??
Qu'est-ce que tu penses? Quelle aurait été une meilleure solution ou Google a-t-il agi correctement après tout??
Crédits d'image: Assistant via Shutterstock, piraté par wk1003mike via Shutterstock, Corde rouge par Mega Pixel via Shutterstock
En savoir plus sur: Google, Microsoft, Online Security.