Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Le 2 novembre 2016

Dix jours après avoir signalé à Microsoft une vulnérabilité zero-day de Windows 10, Google a dévoilé publiquement son existence. Selon Microsoft, Google expose ainsi les utilisateurs à un risque. Un correctif est promis pour la semaine prochaine.

Entre Google et Microsoft, le désaccord sur les questions de sécurité n’est pas nouveau. Les experts de la firme de Mountain View se sont déjà mis à dos l’éditeur en communiquant des détails techniques sur des vulnérabilités.
Lire ici :
http://www.zdnet.fr/actualites/microsoft-google-arretez-de-devoiler-nos-vulnerabilites-pour-faire-des-coups-39812725.htm

Et cette semaine, l’affaire se répète. Dix jours après avoir signalé à Microsoft la présence d’une faille critique dans Windows 10, Google a divulgué publiquement des informations sur celle-ci. Et le géant explique suivre ainsi sa politique.

Google et Microsoft en net désaccord

Dans un billet de blog, Google se justifie : Microsoft n’avait publié ni alerte ni patch pour cette faille critique faisant d’ores et déjà l’objet d’exploitations sur Internet. « Cette vulnérabilité est particulièrement grave car nous savons qu'elle est activement exploitée » écrivent les experts de Google.

Microsoft a donc été mis devant le fait accompli. Et ce dernier ne fait pas mystère de son mécontentement. Pour une question de méthode déjà. « Nous croyons en une divulgation coordonnée des vulnérabilités, et la divulgation d'aujourd'hui par Google pourrait potentiellement mettre les clients à risque. »

En outre, l’éditeur de Windows 10 ne partage pas l’analyse de Google concernant la gravité de la faille signalée. Le désaccord porte sur une élévation locale de privilège qualifiée de « critique » et « particulièrement sérieuse » par Google.

Microsoft souligne que le scénario d’attaque décrit par la firme est totalement contrecarré par le déploiement la semaine dernière d’une mise à jour d’Adobe Flash. « En outre, notre analyse indique que cette attaque spécifique n'a jamais été efficace sur Windows 10 Anniversary Update en raison des améliorations de sécurité précédemment mises en œuvre. »

L’éditeur de Windows a précisé depuis qu’il diffuserait la semaine prochaine un patch de sécurité pour cette faille de Windows. Et ce à l’occasion du Patch Tuesday du mois de novembre, soit dans le cadre de son cycle habituel.

Pourtant, Microsoft reconnaît lui-même que la faille a été utilisée par un groupe de pirates connu sous le nom de Strontium pour des attaques exploitant des emails piégés. Or, ce groupe a d’autres noms « Fancy Bear » et APT 28.

Et celui-ci est associé à des piratages majeurs dont celui de la convention du parti démocrate américain.
Lire ici :
http://www.zdnet.fr/actualites/des-hackers-russes-ciblent-des-sportifs-americains-39841866.htm
http://www.zdnet.fr/actualites/le-piratage-s-invite-dans-la-primaire-americaine-39838484.htm

Source :
http://www.zdnet.fr/actualites/windows-10-google-se-met-a-dos-microsoft-en-divulguant-une-faille-critique-39844060.htm

Tag(s) : #Infos Internationales