Google révèle une faille et Microsoft se fâche

L'équipe de sécurité de Microsoft a fait part de son courroux contre Google à la suite de la publication d'une faille de sécurité découverte dans son système d'exploitation Windows 8.1, dimanche dernier. Le hic: le géant informatique était à deux jours de déployer un correctif pour le problème. Celui-ci permettait à un hacker de gagner des privilèges sur une machine en passant administrateur, rapporte le site mashable.com.

Cette divulgation de Google faisait partie du programme Project Zero, une initiative qui a pour but d'identifier des failles de sécurité et d'en informer les sociétés. Celles-ci ont alors un délai maximal de 90 jours suivant la découverte pour déployer un patch de sécurité. Ayant informé Microsoft du problème de sécurité le 13 octobre dernier, Google s'est montré inflexible en maintenant sa date butoir de publication. La firme savait pourtant que Microsoft préparait un correctif.

Irrité, Chris Betz, directeur du Microsoft Security Response Center, s'en est pris à Google dans un billet de blog dans lequel il fait un plaidoyer en faveur de la divulgation coordonnée des brèches de sécurité: «Concrètement, nous avons demandé à Google de travailler avec nous pour protéger nos clients en conservant les détails sur la faille jusqu'au mardi 13 janvier, lorsque nous publierons un correctif.» Pour Chris Betz, la décision de Google «tient moins des principes que du «je t'ai eu». Ce qui est bon pour Google ne l'est pas souvent pour les clients. Nous exhortons Google à faire de la protection des clients notre but collectif premier», a ajouté le responsable de Microsoft.

Le géant du web défend quant à lui son délai de 90 jours. Selon Google, il est important de faire pression sur les équipes de sécurité afin que les vulnérabilités soient prises en charge rapidement par les entreprises. Mais corriger des failles de sécurité est «un vaste processus complexe et chronophage», rappelle le responsable de Microsoft.