Microsoft dévoile une faille de sécurité dans le navigateur de Google

Les équipes de sécurité de Microsoft ont trouvé une faille dans Chrome, mais ont laissé à Google le temps de la corriger avant de la rendre publique.

L’heure de la revanche a sonné ! C’est au tour des équipes de sécurité de Microsoft de dévoiler des failles dans les logiciels de Google, en l’occurrence le navigateur Chrome. Il faut dire que le conflit entre Google et Microsoft dure depuis plus de deux ans, suite à la création du « Projet Zero » du géant du Web.

Ce projet a pour but de trouver des failles de sécurité, puis de prévenir l’éditeur et de lui laisser 90 jours pour corriger le problème. Après ce délai, la faille est révélée sur le Web. Cela est arrivé plusieurs fois à Microsoft qui n’a pas du tout aimé la méthode et l’a fait savoir. Les « hackers » de Google ont encore frappé en mai dernier en annonçant avoir découvert la pire des failles de sécurité dans Windows, qui a été colmatée deux jours plus tard par Microsoft. L’éditeur de Chrome a également critiqué la stratégie des mises à jour de sécurité de Microsoft, qui donne la priorité à Windows 10 et n’est pas suffisamment réactif concernant les versions 7 et 8.

Microsoft critique la façon de réagir de Google

Sur leur blog, les équipes de sécurité de Microsoft décrivent en détail la faille de Chrome et expliquent comment elle peut aboutir à l’exécution d’un code à distance (Remote Code Execution). Sauf que Microsoft insiste sur un point important : la faille a été découverte le 14 septembre et Google a été contacté de façon privée à ce sujet. Le géant du Web a attribué une récompense de 7500 dollars et a surtout apporté une correction en quatre jours.

Mais Microsoft enfonce le clou en critiquant le fait que Google a dévoilé publiquement le correctif sur Github, indiquant donc la vulnérabilité, avant que Chrome ne soit mis à jour, un mois plus tard. Jordan Rabet, de l’équipe Microsoft Offensive Security Research conclut toutefois en disant : « Nos stratégies peuvent différer, mais nous croyons en la collaboration des acteurs de l’industrie de la sécurité afin d’aider à protéger les clients ». Google n’a pas encore répondu à cette main tendue.

Source : 01net.com The Verge

Laisser un commentaire