Faille critique dans Windows 8.1 et 10 : la sortie du correctif repoussée de 2 mois
Alors que la sortie d'un patch correctif pour Windows était prévue pour décembre dernier, Microsoft a choisi d'en retarder la sortie à février, maintenant ainsi les utilisateurs de Windows 8.1 et 10 exposés à une faille critique de sécurité.
Il n’est apparemment pas nécessaire de disposer d’une version datée de Windows pour être confronté à des failles critiques de sécurité. En septembre dernier, l’expert en la matière Laurent Gaffie détecte une brèche au sein des récents systèmes d’exploitation de Microsoft que sont Windows 8.1 et Windows 10.
Comme précisé par nos confrères belges du Soir, cette faille se situe au niveau du protocole SMB (Server Message Block) autorisant notamment le partage de fichiers. En reliant celui-ci à des serveurs malveillants, des pirates seraient ainsi en mesure de contaminer un certain nombre d’appareils. Dans les faits, le risque résiderait dans l’ouverture d’un lien renvoyant vers un courriel partagé dans Outlook. Une action qui conduirait ainsi la machine à afficher un écran bleu synonyme de plantage.
Correctif d’une faille : Microsoft l’avait prévu pour décembre
Suite à cette découverte, Laurent Gaffie a alerté Microsoft qui était donc censé délivrer un correctif pour décembre dernier. Le développement du patch s’est apparemment déroulé sans souci majeur puisque sa sortie devait intervenir dans les temps.
Sauf qu’il a finalement été décidé, du côté de la firme de Redmond, de repousser la disponibilité du correctif pour le 14 février prochain, soit deux mois après la date initialement prévue et cinq mois après la révélation de la faille.
If i'm not rewarded in any way for the free work I'm doing for this multi-billion company, why should I tolerate them sitting on my bugs?
— Responder (@PythonResponder) February 1, 2017
L’expert en sécurité se venge en publiant l’exploit
Un retard qui s’expliquerait par la volonté de Microsoft de sortir en même temps toute une série de correctifs pour des bugs de type SMB. L’expert en sécurité, qui ne semble avoir que modérément apprécié cette décision, a décidé en fin de mois dernier de dévoiler publiquement sur son compte Twitter l’exploit, en expliquant sa démarche :
“Les ventes sont plus importantes pour eux que leur posture de garant de la sécurité de l’utilisateur. Clairement pas un leader de la sécurité dans cette industrie. Si je ne suis récompensé en aucune manière pour le travail que j’accomplis pour une entreprise pesant des milliards, pourquoi devrais-je tolérer qu’ils s’asseyent sur mes bugs ?”