Pour la deuxième fois en moins d’un mois, Google met en danger les centaines de millions d’utilisateurs de Windows 8.1 en dévoilant une vulnérabilité de sécurité deux jours avant la distribution de la mise à jour de sécurité de Microsoft.
Et cela en ayant refusé la demande de Microsoft d’attendre la publication de la mise à jour.
Cette révélation s’est opérée dans le cadre du Project Zero de Google, annoncé le 15 juillet 2014. Les vulnérabilités découvertes par des employés de Google dans des logiciels tiers seront recensées dans une base de données et leurs éditeurs informés. L’idée est de mettre les éditeurs sous pression afin qu’ils ne mettent pas des années à publier des correctifs.
Pour autant, s’appuyer bêtement, sans discernement et de façon automatique ‘par principe’ sur un délai maximum consenti de 90 jours ressemble plus à une imposture qui vise à mettre Google en avant au mépris de la sécurité des utilisateurs, que d’aider la communauté en rendant l’écosystème plus sûr.
Google a peu d’expérience des solutions logicielles à long terme, car elle exploite un maximum les solutions libres développées ailleurs comme Unix et Java, et parce que la plupart de ses produits disparaissent après quelques années: Google Buzz, Google Notebook, Jaiku, Google X, etc. L’entreprise n’a donc aucune idée de ce qu’implique le support de systèmes d’exploitation utilisés depuis des décennies par des dizaines de milliers de logiciels, et le temps nécessaire pour tester les correctifs de sécurité à cette échelle.
On peut donc s’interroger sur le bien-fondé de l’obstination de Ben Hawkes d’appliquer un unique délai de trois mois, quel que soit le système visé, son contexte et son histoire.
Microsoft, qui est plus connue pour son exemplarité à corriger les bogues de sécurité, répond par la plume de Chris Betz, directeur général du Microsoft Security Center :
» Répondre aux vulnérabilités de sécurité peut être un processus complexe, vaste et chronophage. En tant que vendeur de logiciels, c’est un domaine dans lequel nous avons des années d’expérience. Une partie de la complexité du débat sur le timing est enracinée dans les environnements divers que nous devons prendre en compte en tant que professionnels de la sécurité : impact réel dans les environnements des clients, nombre de plateformes supportées affectées par le problème, et complexité du correctif. Toutes les vulnérabilités ne sont pas égales. Elles ne peuvent pas êtres classifiées à l’aide de mesures bien définies. La mise à jour d’un système en ligne a une complexité et des dépendances différentes qu’un logiciel ou une plateforme logicielle de plusieurs décennies sur lesquels des dizaines de milliers d’éditeurs ont développé des applications ou des périphériques matériels. Une collaboration réfléchie prend en compte ces considérations. » *
Traductions: Le Diligent