Windows 10: l’énorme faille dévoilée par Google ne sera corrigée que dans une semaine !

Dix jours après avoir signalé à Microsoft la présence d’une faille critique dans Windows 10, Google a divulgué publiquement des informations sur celle-ci.

Dans un billet de blog, Google se justifie : Microsoft n’avait publié ni alerte ni patch pour cette faille critique faisant d’ores et déjà l’objet d’exploitations sur Internet. « Cette vulnérabilité est particulièrement grave car nous savons qu'elle est activement exploitée » écrivent les experts de Google. Microsoft à, enfin, réagir… mais ne sera pas corrigée avant la semaine prochaine, comme l’a annoncé le développeur.

Du côté de Redmond, on s'agace de la méthode. « Nous croyons en une divulgation coordonnée des vulnérabilités, et la divulgation d'aujourd'hui par Google pourrait potentiellement mettre les clients à risque. La décision de Google est décevante », assène le géant américain.

Problème, comme l'indique Google, la faille est actuellement exploitée et pas qu'un peu. Microsoft, en pleine schizophrénie sur la question, est d'ailleurs bien obligé de le reconnaître. Et il ne s'agit pas d'une exploitation anodine puisque les hackers russes derrière l'opération visent spécifiquement des institutions politiques américaines. Réunis au sein du groupe Strontium, ces pirates sont également connus sous les noms « Fancy Bear » et APT 28, ce dernier est soupçonnés d'avoir piraté la convention du parti démocrate américain et notamment les emails de John Podesta, le président de l’équipe de campagne d’Hillary Clinton.

A travers la faille divulguée par Microsoft, Strontium s'attaquerait cette fois à des agences gouvernementales ou à des institutions diplomatiques et militaires. De quoi alimenter les thèses d'attaques d'Etat mises en avant par la direction du renseignement américain, accusations qualifiées de « foutaises » par Moscou.

Microsoft s'agace

Le vice-président de Microsoft Terry Myerson lors d'une conférence de presse sur Windows 10 à Redmond, le 21 janvier 2015. (© AFP/Glenn Chapman)

Microsoft souligne toutefois que le scénario d’attaque décrit par Google est totalement contrecarré par le déploiement la semaine dernière d’une mise à jour d’Adobe Flash. « En outre, notre analyse indique que cette attaque spécifique n'a jamais été efficace sur Windows 10 Anniversary Update en raison des améliorations de sécurité précédemment mises en œuvre. », ajoute l'éditeur.

L’éditeur de Windows a précisé depuis qu’il diffuserait la semaine prochaine un patch de sécurité pour cette faille de Windows. Et ce à l’occasion du Patch Tuesday du mois de novembre, soit dans le cadre de son cycle habituel.

Sur le blog de Microsoft, le responsable de Windows Terry Myerson déplore que Google ait choisi de le dévoiler aussi tôt, argumentant que le geste est « décevant, et met les consommateurs face à un danger accru .

Excuse qui serait plus recevable si ce n’était pas la première fois que le développeur faisait la sourde oreille face à un bug repéré. En effet, les redémarrages intempestifs suite à une dernière mise à jour auraient pu être évités sans cela.

Reste que la mise à jour Anniversaire du système protège déjà les utilisateurs de cette faille. Espérons que de nouvelles ne seront pas découvertes à l’occasion de la sortie de la Creators Update au début de l’an prochain.