Informé d'une faille en septembre 2009, Microsoft ne corrige que le 21 janvier 2010, trop tard
Mais est-ce assez ? Pour Charlie Miller, expert en sécurité et gagnant trois années consécutives du concours de hacking Pwn2Own, la réponse est non. Estimant que les éditeurs (pas uniquement Microsoft) ne s'impliquaient pas assez dans la détection des failles et le durcissement de leur code, il avait décidé de ne pas leur communiquer les vulnérabilités découvertes lors de ses travaux.
En échange, Charlie Miller proposait de leur indiquer comment les détecter, une tâche simple selon lui puisqu'il indiquait que des outils de fuzzing classiques le permettaient. Mais Miller n'est pas le seul à critiquer le principe de la divulgation responsable. Certains reprochent aux éditeurs de profiter de ce système et de tarder à livrer des correctifs.
Début janvier, plusieurs entreprises, dont Google, étaient victimes d'intrusions informatiques attribuées à la Chine. Ces attaques ont été permises par une faille dans Internet Explorer 6. Or cette vulnérabilité avait été signalée à Microsoft par la société israélienne BugSec plusieurs mois auparavant, en septembre 2009. Elle ne sera corrigée finalement que le 21 janvier.
Partager