Discussion :

[kolodz]

90 jours non ce n'est pas long surtout dans le cas comme cela a souvent été le cas pour des failles datant de plus de 5 a 6 ans.
De plus la divulgation ne protege en aucun cas l'utilisateur car il est souvent inconcient du risque mais permet par contre à des Hacher eux de l'utiliser pendant quelques jours le temps que le patche ne sorte.

Heartbleed qui est une faille sur Linux qui date pratiquement de la première version a été découvert et publié avant sa correction. Il y a eu aucun scandale à ce niveau.
According to Mark J. Cox of OpenSSL, Neel Mehta of Google's security team reported Heartbleed on April 1, 2014.[28]
...
Bodo Moeller and Adam Langley of Google prepared the fix for Heartbleed. The resulting patch was added to Red Hat's issue tracker on March 21, 2014.[32] Stephen N. Henson applied the fix to OpenSSL's version control system on 7 April.[33] The first fixed version, 1.0.1g, was released on the same day.

Donc, soit la date de la faille n'est pas une caractéristique pour définir la durée nécessaire pour réaliser un patch. Soit, Microsoft est deux fois plus lent. Personnellement, je ne considère pas Microsoft pour des incompétents et j'opte pour l'option 1.

La politique de Google sur la publication des failles est connu. Microsoft s'en offusque systématique, après coup.

Microsoft a demandé d'attendre 2 jours. Ce que google n'a pas fait pour l'emmerder. Ils sont concurrents ou pas?

Rien de dit que Microsoft est aller voir Google AVANT pour demander un délai de deux jours(Le temps que le patch sorte). Donc, je trouve la critique de Microsoft trop facile à faire après coup. On sait seulement, que Microsoft considère qu'ils auraient dû attendre deux jours de plus, dans une annonce fait après. Il faut resté critique avec ce que dit chaque "camps".

D'ailleurs, ce n'est pas le première fois ou Microsoft se réveil après coup. Et à l'époque le délai considéré par Google était de 60 jours. Donc, Google a fait un geste depuis.
http://www.developpez.com/actu/19265...-les-editeurs/
http://googleonlinesecurity.blogspot...ure-focus.html

D'ailleurs le débat à l'époque était bien plus axés :
"Le type qui découvres une faille, il en fait ce qu'il veux."

Moi je dis que quelqu'un qui trouve une faille fait ce qu'il veut :
- Ne rien dire
- Informer (gratuitement ou pas) l'éditeur
- Informer (gratuitement ou pas) le public ou le plus offrant.
- Faire un PoC ou pas

J'espère que cette fois ici Microsoft et les personnes qui approuvent sont point de vue ne feront pas juste un billet de blog sur le sujet et traiteront le problème en profondeur.
Méthodologie pour définir les failles qui ne sont pas à publié ? Ou qui demande du temps ?
Pour le moment, je n'ai rien vue sur ces points que soulève Microsoft en son blog, qui considère que cette faille était dans ce cas.

Dans l'absolu je suis d'accord : le secret n'est pas un bon moyen de protection, mais tu m'expliques comment un utilisateur lambda peut condamner une faille dans son système, alors qu'il a déjà très peu de chances d'être au courant dans les plus brefs délais (en considérant bien entendu qu'il ne s'en fiche pas) ?

Il lui reste le choix de changer d'OS, d'isoler son PC.(Le coupé d'internet) Je n'ai pas dis que les solutions n'étaient pas drastique. Mais, si l'utilisateur n'est pas informé, il n'a juste pas la possibilité de choisir. D'ailleurs, c'est l'une des raisons qui pousse l'équipe de Chrome à pousser les navigateur à indiquer que HTTP n'est pas sécurité.

Cordialement,
Patrick Kolodziejczyk.

Edit : Quand on prend le temps d'ajouter des moins à un message, on prends aussi le temps de sortir commentaire du pourquoi...

[imikado]

Je viens de lire un complément intéressant qui va dans le sens de Google:
Ils donnent 90 jours à l'éditeurs, pas un jour de plus et à raison
Je citerai l'article:

Une défense louable, mais qui vient peut-être un peu tard. Car Microsoft a une longue histoire de vulnérabilités qu’il a tardé à corriger, comme le rappelle Robert Graham, hacker et patron d’Errata Security. Sur son blog, ce vieux briscard de la sécurité informatique décrit comment les vulnérabilités étaient gérées par l’éditeur de Windows il y a une dizaine d’années. « Microsoft dictait à l’époque la manière dont les vulnérabilités étaient reportées. Les chercheurs qui découvraient de tels bugs devaient informer les éditeurs en secret et leur donner tout le temps nécessaire pour les corriger. Microsoft a parfois attendu des années avant d’en corriger certains et profitait du fait qu’il était en mesure de blacklister des chercheurs pour les faire taire. » Visiblement, les temps ont changé…

Donc
1. Google ne travaille pas pour Microsoft, ils n'ont pas à leur dicter quoi que ce soit
2. 90 jours c'est déjà énorme: combien de temps ont mis la communauté GNU/Linux à corriger heartblead, shelllock and co ?
3. Microsoft et Google n'ont pas de bon rapport

Microsoft devrait améliorer ses relations avec Google en:-
- arretant les publicités se moquant ouvertement des chromebooks
- arreter sa boutique qui vend des produits discreditant google (scroogle)
- stopper la taxe android
Après on reparlera du Gentil Microsoft face au méchant Google

[e101mk2]

Je pense que microsoft abuse un peu...
Avec leur ressource humaine, leur connaissance, et aussi leur implication dans le monde de l'entreprise, 90 jours est que suffisant pour creér et deployée un correctif adaptée. Leur "monopole" leur demandent des obligations en vers leur clients.
Je ne demande qu'ils detectent les failles, mais quand on as la gentillesse de leur donnée dans un papier cadeaux une faille touchant l'un des produits qui coutents plus de 100€, et qu'il mette plus de 90 jours à deployér un correctif adaptée alors que plusieurs entreprises dependent de ces technologies qu'ils ont payée au prix fort (un parc informatique est couteux en logiciels...), et ces même technologies peuvent avec une faille corrompre toute la protection d'un réseaux... je trouve sa honteux.
Je pense que la mesure de Google est de faire réagire les entreprises logiciel à la securité, en leur imposant la mise à jour de correctif plus rapide et efficace(même si google souffre du même probleme avec Android du aux manquement des constructeurs à les distribuer...) .

[myNameIsFlo]

Microsoft a demandé d'attendre 2 jours. Ce que google n'a pas fait pour l'emmerder. Ils sont concurrents ou pas?

Concernant, les remarques que Microsoft a les moyens. . .
Ce n'est pas une question de moyens mais de complexité. 90 jours pour corrigés un OS tel que Windows sur une faille complexe, c'est peu

Dans ma 'petite' entreprise, les clients attendent souvent 10 jours pour une correction sur un logiciel pas forcément complexe et payé un 'peu' plus que 100€. Personne ne se plaint.

Je ne suis pas pour ou contre mais il faut remettre les choses dans leur contexte (bande de français râleur

[Saverok]

Sur le principe, je suis d'accord avec Google
Par contre, faut pas être butté non plus et avoir un peu de souplesse dans l'application du principe.
Si l'éditeur demande un délais supplémentaire de 48h, il est possible de s'arranger.
Par contre, si après le délais supplémentaire, rien n'est encore fait, c'est différent.

[Invité]

Hmmm, est-ce que chez google, ils utilisent leur OS: Google Chronux OS (chronux = Chrome + Linux) ou Windows ?

Tel est là question ?


(Si ils utilisent Chronux, alors que ça peut leur f*** de s'acharner tant sur une petite faille, alors que les dev chez windows en révéle/corrige plus qu'une en une journée )

[gerard.laine]

La politique de Microsoft consistant a garder secrets les innombrables Bug qui émaillent ses produits à fait perdre des millions d'heures de travail à ceux qui cherchaient a identifier l'origine des dysfonctionnement dont ils étaient victimes. A chaque Bug des milliers de personnes effectuaient simultanément les mêmes travaux de recherche, alors que si Microsoft avait publié à l'instar d 'IBM des "Early Warning" beaucoup de sueur aurait été économisée. Mais comme chacun le sait les produits Microsoft sont parfaits !

[marc_ch]

Je suis sidéré d'apprendre que Google dispose d’un programme « Google Project Zero » et pas Microsoft.
Donner 90 jours à Microsoft pour régler un bug identifié me parait être un délai suffisant. Si rien n'est fait dans ces délais cela signifie que Microsoft ne priorise pas ce qui "profite aux utilisateurs".

[Hinault Romaric]

Google divulgue une autre faille non corrigée de Windows
malgré les critiques de Microsoft

Google récidive. Le géant de la recherche a décidé de publier les détails sur une nouvelle faille zero-day dans Windows, alors que Microsoft n’a pas encore mis à la disposition des utilisateurs un correctif de sécurité.

La faille qui touche Windows 8.1 et Windows 7 (32 et 64 bits), se situe au niveau de la fonction de chiffrement CryptProtectMemory. En cas d’exploit, cette vulnérabilité pourrait entrainer une usurpation d’identité.

La faille avait été découverte par l’ingénieur de Google du nom de Forshaw, à l’origine da la divulgation de la précédente faille dans Windows 8.1. Elle a été enregistrée le 17 octobre sur le programme « Google Project Zero ». Une notification avait été envoyée à Microsoft et compte tenu du fait que le délai de 90 jours accordé ait été atteint, la faille a été divulguée publiquement.

Les experts en sécurité de Microsoft ont répertorié la faille le 29 octobre dernier. Un correctif avait été développé et devait être inclus dans le Patch Tuesday de janvier. Cependant, suite à des problèmes de compatibilité, Microsoft n’a pas été en mesure de publier un correctif à temps.

« Microsoft nous a informé qu’un correctif était prévu pour les patchs de janvier. Mais, il a été retiré en raison des problèmes de compatibilité. Par conséquent, le correctif est maintenant prévu dans les patchs de février », a écrit Forshaw, dans une mise à jour sur le dossier de la faille sur « Project Zero ».

Tout comme la dernière fois, Google a opté pour une publication de la faille, qui est accompagnée d’une preuve de faisabilité. Le but premier de ce geste étant de mettre la pression à l’éditeur afin qu’il publie un correctif pour sécuriser les utilisateurs, cela a aussi pour effet d’augmenter le risque d’exploitation de la vulnérabilité par les pirates.

Microsoft avait déjà critiqué cette façon de procéder chez Google, qui expose encore plus les utilisateurs. « Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la sortie d’un correctif dans le cadre de notre Patch Tuesday, alors que nous leur avions demandé de ne pas le faire », expliquait Chris Betz, responsable de la sécurité chez Microsoft, dans un billet de blog. « Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu’au 13 janvier, lorsque nous publierons un correctif. »

Pour Microsoft, il est préférable de travailler de façon concertée et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.


Source : Google Project Zero

[Pierre GIRARD]

...Pour Microsoft, il est préférable de travailler de façon concerter et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.

Attendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?

Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).

Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.

[redcurve]

Attendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?

Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).

Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.

Simplement parce qu'une faille peut demander un travaille très lourd, tu peux te retrouver à devoir repenser une partie de ton archi etc. Donc 90 jours sur des logiciels aussi complexe ça peut être insuffisant. C'est le cas ici par exemple, le problème étant dans une méthode crypto le correctif n'est pas simple, puisque induisant des soucis de compatibilité ce qui n'est pas étonnant.

[imikado]

Simplement parce qu'une faille peut demander un travaille très lourd, tu peux te retrouver à devoir repenser une partie de ton archi etc. Donc 90 jours sur des logiciels aussi complexe ça peut être insuffisant. C'est le cas ici par exemple, le problème étant dans une méthode crypto le correctif n'est pas simple, puisque induisant des soucis de compatibilité ce qui n'est pas étonnant.

C'est déjà sympa de leur part d'attendre 90J, ils font ça "gratuitement" pour Microsoft

Microsoft devrait plutot leur donner une récompense à chaque faille trouvée.
Il me semblait d'ailleurs qu'ils avaient un programme de ce type, non ?

Ils pourraient créer eux aussi une équipe chargée de trouver les failles de leur propre OS

[Pierre GIRARD]

Simplement parce qu'une faille peut demander un travaille très lourd, tu peux te retrouver à devoir repenser une partie de ton archi etc. Donc 90 jours sur des logiciels aussi complexe ça peut être insuffisant. C'est le cas ici par exemple, le problème étant dans une méthode crypto le correctif n'est pas simple, puisque induisant des soucis de compatibilité ce qui n'est pas étonnant.

Sauf que 90 jours est la règle que Google s'impose à lui-même.

Maintenant, ta réponse laisse supposer que µSoft ne maitrise pas vraiment ses propres produits, et il est sur que, n'étant pas OpenSource, il ne peut attendre de secours ou d'aide de personne.

[Lutarez]

C'est l'hôpital qui se fout de la charité par ici...

Attendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?

1 mois, c'est écrit dans l'article.

Il y a effectivement URGENCE absolue pour la correction d'une faille.

Non, une faille vient avec une niveau de dangerosité. Mais si ça se trouve, ils ont aussi peut-être d'autres failles de sécurité bien plus importantes à corriger que celle découverte par Google. Je doute que les ingénieurs sécurité de Microsoft doivent attendre que le travail viennent des acteurs externes pour trouver des failles.

Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.

Il faudrait songer à lire l'article non ? Le correctif est prêt, mais pose des problèmes de compatibilité. C'est bien plus responsable de Microsoft d'accepter de repousser la publication du patch que de le sortir à la hâte pour faire plaisir à Google, au détriment des utilisateurs.

Ces actions de Google sont purement politiques, ils se contrefoutent de la sécurité des utilisateurs. Même pour 60% de leurs clients, ils ne font rien, alors pourquoi faire un geste pour les clients d'un concurrent ?
Chacun est libre de critiquer Microsoft, mais au moins EUX, corrigent les failles

C'est déjà sympa de leur part d'attendre 90J

Ce genre d'argument me fait doucement rigoler. En quoi c'est "sympa" pour une entreprise d'imposer à son concurrent de devoir respecter une deadline imposée ? Google a simplement trouvé une méthode pour foutre une pression politico-commercial à Microsoft, et je pense qu'on va voir encore beaucoup de cas similaires dans le futur.

Soyons clair : Microsoft auraient du sortir ce patch en 3 mois. C'est sûr. Mais la politique de Google concernant la divulgation des faille est la pire jamais inventé : mettre en danger les utilisateurs pour descendre l'image d'un concurrent est tout simplement abject. Mais si vous voulez, allez-y, protégez donc Google ! Quand ils auront une autre cible que Microsoft, on en reparlera...

[imikado]

1 mois, c'est écrit dans l'article..

1 mois ? dans ce cas ils devraient etre content: 90j > 1 mois

Je doute que les ingénieurs sécurité de Microsoft doivent attendre que le travail viennent des acteurs externes pour trouver des failles..

Comme remonté dans les posts précédents: avant l'arrivée de Google, Microsoft gérait cela à sa façon
Je recite l'article que j'avais déjà cité:

Une défense louable, mais qui vient peut-être un peu tard. Car Microsoft a une longue histoire de vulnérabilités qu’il a tardé à corriger, comme le rappelle Robert Graham, hacker et patron d’Errata Security. Sur son blog, ce vieux briscard de la sécurité informatique décrit comment les vulnérabilités étaient gérées par l’éditeur de Windows il y a une dizaine d’années. « Microsoft dictait à l’époque la manière dont les vulnérabilités étaient reportées. Les chercheurs qui découvraient de tels bugs devaient informer les éditeurs en secret et leur donner tout le temps nécessaire pour les corriger. Microsoft a parfois attendu des années avant d’en corriger certains et profitait du fait qu’il était en mesure de blacklister des chercheurs pour les faire taire. » Visiblement, les temps ont changé…

Vous voulez toujours défendre Microsoft ?

Ce genre d'argument me fait doucement rigoler. En quoi c'est "sympa" pour une entreprise d'imposer à son concurrent de devoir respecter une deadline imposée ? Google a simplement trouvé une méthode pour foutre une pression politico-commercial à Microsoft, et je pense qu'on va voir encore beaucoup de cas similaires dans le futur.

Une deadline imposée par qui ? par Google lui-même pour rappel

Vous avez une carte du club Microsoft, ou des actions chez eux ? Personnellement, je suis autant client de microsoft, Apple et Google, et je réponds en tant que client et utilisateurs: ici une société trouve des failles, et attends 90j avant de la dévoiler, l'autre mets du temps à corriger et se pleint de n'avoir pas 2jours de plus, voir ici deux semaines (prevu pour le patch de fevrier)
En tant que client et non en tant que fanboy: je donne ici raison à Google de mettre la pression à Microsoft pour qu'ils corrigent leurs produits payant !

Pour l'histoire de webview, c'est totalement HS ici, juste un sujet à troll auquel je ne répondrais même pas. (juste pour info, je suis sous blackberry)

[Robwolx]

Google, µsoft, tout ça c'est bonnet blanc et blanc bonnet.
De toute manière quand il sagit de fric le gogo, (nous), ne compte que pour du beurre du moment qu'il paye.

[GHetfield]

Au moins il y a une concurrence. Ca a longtemps manque a Microsoft. Il faut reconnaitre que Google réussit là ou les autres (Linux,..) échouent depuis 30 ans.

[GHetfield]

2. je le rappelle: je suis client et non fanboy, je critiquerai n'importe quel éditeurs qui refuse de corriger ses failles surtout si elles sont connus

oui Imikado. on te crois. Et moi je suis contributeur au noyau linux

Pour taper su Microsoft t'es toujours là. Et quand les contres arguments te bloque tu crie au troll.

[Haseo86]

Juste un épisode de plus dans la bataille d'hypocrisie et de qui-a-la-plus-grosse entre les "géants" de l'IT.

Ridicule.

[frantzgac]

Voilà qui est cocasse XP désormais obsolète pour cause d'interruption de support qui le mettrait à nu devant les brutes numériques.
Et c'est finalement Win7 et Win8 qui sont défaillants !
C'est dur d'être un leader...