« Nous révélons aujourd’hui l’existence d’une faille de sécurité particulièrement importante dans Windows qui ne dispose pour l’instant d’aucune mise à jour corrective. Cette faille est particulièrement dangereuse puisqu’elle est activement utilisée. » Google n’a pas mâché ses mots au moment de dévoiler en détail, lundi 31 octobre, la menace qui plane sur les utilisateurs de Windows.
Une « évasion de sandbox » dénoncée par Google
Dans un post de blog, les chercheurs en sécurité informatique de l’entreprise expliquent avoir alerté Microsoft et Adobe de l’existence de cette faille le 21 octobre. Si Adobe a mis à jour Flash cinq jours plus tard par sécurité, Google a décidé, face à l’inaction de Microsoft, d’informer le public de ce danger. L’entreprise respecte ainsi scrupuleusement sa politique de sécurité adoptée en 2013 : « Si sept jours se sont écoulés sans qu’un patch correctif ou un avertissement aient été donnés [par l’entreprise concernée], nous soutiendrons les chercheurs qui expliquent publiquement aux utilisateurs comment se protéger eux-mêmes. »
Google indique au passage que son navigateur, Chrome, garantit la sécurité de ses utilisateurs contre cette faille. Il s’agit d’une « élévation de privilèges », comme nous l’explique une source qui a souhaité conserver l’anonymat et qui travaille dans la sécurité informatique : « Une sandbox permet de limiter les fonctionnalités auxquelles a accès un processus donné, ce qui inclut les applications. En mettant les processus de son application en sandbox, un développeur ne l’autorise qu’à accéder qu’aux fonctions du système d’exploitation auxquels elle a besoin. Ainsi, même si une application est vulnérable et permet, par exemple, d’exécuter du code malveillant — comme c’était le cas ici avec Flash –, le fait qu’elle soit mise en sandbox va l’interdire malgré tout d’effectuer certaines opérations (par exemple écrire des fichiers sur le disque). »
Concrètement, les dangers sont donc multiples : « La faille en question permet de contourner ces mécanismes de limitation et donc d’utiliser des fonctionnalités dangereuses, comme l’écriture de fichiers sur le disque. Elle peut aussi donner lieu à l’installation de logiciels malveillants et à la récupération de documents stockés sur le disque du poste attaqué. »
« La révélation de Google expose nos utilisateurs à un danger potentiel »
Si l’entreprise a attendu dix jours plutôt que sept avant de révéler cette menace au public. Microsoft n’a pas tardé à riposter par l’intermédiaire de Terry Myerson, vice-président exécutif de Windows ; « Nous sommes convaincus qu’une entreprise technologique responsable doit faire primer le client avant tout et procéder à une révélation coordonnée des failles de sécurité. La décision prise par Google, sans laisser le temps d’assurer de l’efficacité d’un patch correctif, est décevante et accentue la menace potentielle qui plane sur les utilisateurs. »
En attendant la sortie de son patch correctif pour toutes les versions de son OS — dont la sortie est prévue pour le 8 novembre — Microsoft conseille à ses clients de passer à Windows 10. On ne loupe jamais une occasion chez Redmond. L’entreprise assure par ailleurs que les utilisateurs de l’Anniversary Update utilisant le navigateur Edge sont protégés de cette faille.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !