Le Projet Zero de Google a publié les détails d’une faille dans la GDI de Windows, avant la publication du correctif par Microsoft. L’éditeur a cependant bénéficié de 90 jours d’attente, malgré un correctif partiel l’année dernière. Explications.
Le Project Zero de Google dispose d’un règlement strict, bien qu'il ait été légèrement assoupli en février 2015 pour gommer quelques frictions. Microsoft en a déjà fait les frais, parfois à quelques jours d’intervalles seulement avant la publication d’un correctif. Cette fois-ci, le cas est un peu différent.
Tous les aspects du problème n'avaient pas été envisagés
La faille initiale, qui concerne la GDI (Graphic Device Interface) dans Windows, a été signalée pour la première fois le 9 juin 2016. À peine six jours plus tard, un correctif était proposé, réglant a priori la question. Quelques mois plus tard cependant, le Project Zero remet le couvert. Elle envoie le 16 novembre une alerte à Microsoft pour lui indiquer que tous les cas de figure n’ont pas été abordés, le tout accompagné d’un prototype d’exploitation (PoC).
Le 16 février au soir, la période réglementaire des 90 jours étant écoulée, le Project Zero est passé à l’étape suivante. Elle a publié les informations sur la faille, accompagnées du prototype. En d’autres termes, les pirates qui ne connaissaient pas son existence en sont maintenant informés et savent également comment l’exploiter.
La faille réclame un accès physique à la machine
Les utilisateurs sont-ils en grand danger ? Dans l’absolu, le risque semble modéré puisque la faille requiert un accès physique à la machine pour être exploitée. Si le pirate y parvient, il peut obtenir certaines informations stockées en mémoire. Il ne s’agit donc pas d’une brèche critique, notamment parce qu’il n’y a pas exécution arbitraire de code à distance.
Il y a cependant de quoi agacer Microsoft, qui n’en est pas à son premier choc avec le Project Zero. Cela étant, la question du correctif se pose. L’éditeur aurait en effet dû publier la semaine dernière ses bulletins de sécurité pour le mois de février. À la dernière minute, il a averti qu’ils auraient du retard, à cause de la découverte d’un problème, sur lequel aucun détail n’a été donné.
Les bulletins de février reportés à mars
Il est en fait possible que le fameux correctif ait fait partie du lot, mais que le retard ait déclenché la suite de la procédure. Les bulletins de février étant reportés à mars, il resterait alors environ trois semaines d’attente. Même si le risque ne semble pas élevé, il rappellera sans doute de mauvais souvenirs à Microsoft, puisque des pirates russes (le groupe STRONTIUM) avaient il y a quelques mois profité d’une faille du kernel révélée par le Project Zero.
Commentaires (68)
Et c’est dans ce genre de situations qu’on se rend compte que Google oeuvre pour notre sécurité a tous. Bravo Google.
De toute façon, le sujet revient toujours… les réponses et avis seront surement les mêmes… On remarquera que si le sujet revient souvent, c’est surement qu’il y a un problème de traitement de ces failles.
90 Jrs après, MS n’a pas corrigé. Ils n’avait peut être même pas prévu de le faire ? qui sait… Ca aura le mérite de les faire se bouger un peu… Et ce pour le bien des utilisateurs ou cibles potentielles.
De toute façon, ceux qui sont à même d’exploiter de telles failles, je pense pas qu’ils attendent après Google.
Mais bon, dans le cas présent, avec une intervention physique sur le poste, en effet, le risque doit être réduit quand même !
Google ne balance rien du tout…..
Google balance des correctifs inapplicables en raison du mode de diffusion de son système et de ses relations avec les fabricants !
En conclusion, Google ne fournit AUCUN correctif…..
Déjà le problème est la relative lenteur de diffusion des patchs : mensuel. Cela devrait être hebdo. Au vu de la criticité de telles failles.
Certains diront que cela réduirait la fenêtre de test pour les entreprises mais bon celles-ci sont déjà incapables de valider Windows 10 RTM…
ça ne prend pas en compte que les tests pour les entreprises mais aussi les tests de Microsoft je pense… Car sortir très régulièrement des patchs tu as plus facilement des bugs que tu n’as pas le temps de détecter… (d’ailleurs ça devait être un bug pour que microsoft ne sorte pas la maj de février). Puis pour ça google ne peut rien dire vu que leur maj de sécurité est aussi mensuelle sur Android (ils arrivent même la sortir plus tard que sur les appareils de Blackberry ^^)
Hey les gens ! Arrêtez!
d’habitude next Inpact est un site ou les commentaires sont constructifs et réfléchis (ou alors drôles, mais un peu réfléchis quand même). Là on a l’impression d’être dans la cour de récré ou dans le site d’en face qui fait 12000 news intutiles !
Que le ZDI existe rien à dire dessus.
Par contre que cela soit géré par Google quand on connait l’état de mise à jour du parc Android prête doucement à sourire.
A ce que je vois, la France et l’Europe vont détrôner les USA, la Chine et la Russie sur la high-tech avec tous les génies que nous avons et qui s’expriment ici.
Et parmi ceux-là, combien ont déjà mis la main à la pâte pour sortir des applications à la date exigée par le client ?
En réponse à Drepanocytose, là, lol. Pourquoi dans Android, ils ne peuvent pas mettre à jour l’OS sans passer par les constructeurs et les opérateurs ? Je sais là je suis amer
Je me souviens d’une comparaison entre la voiture et windows, faite par un responsable de General Motors.
Si aujourd’hui on faisait la même chose entre android et windows, je pense que ce ne serait pas joli à voir :
Parce que les gros clients corporate ont demandé à avoir un calendrier prévisible, histoire de planifier les ressources IT à y consacrer ?
Edit : grillé :-)
Pas critique peut être mais lire des infos en mémoire ca veut dire un accès potentiel a des données normalement cryptées non?
Vous arrivez à quelque chose avec le poc.emf ? Moi il ne fait rien , sous Windows 7 x64 , dans IE ou Paint
Le seul point positif que je vois dans la ZDI tel qu’elle fonctionne actuellement, c’est qu’aucune faille (découverte, obv.) ne passe inaperçue du public averti. Notamment les rédactions comme NXI qui traitent la question.
Par conséquent, les portes créées sciemment à la demande d’une autorité ou l’autre finissent plus rapidement qu’avant par être dévoilées et donc fermées ou, tout du moins, par faire l’objet de contre-mesures maison (qui a dit rustine ?).
Ça rime à quoi de modérer 24 h plus tard ?
Ridicule.
Edit : vous savez très bien que ça peut troller sur ce genre de news, soyez donc présent au début ou publiez quand un modo est disponible. Là, le fil de commentaires ne ressemble plus à rien.
D’autant plus que Vincent sait très bien modérer quand nécessaire. S’il ne l’a pas fait, c’est que ce n’était pas très utile…
Il y a eu modération parce que ça a continué aujourd’hui. Il n’y aurait pas eu de message (ou du moins, pas de message à modérer), posté aujourd’hui, j’aurais tout laissé .
Et désolé en effet, ma présence étant fortement réduite ces temps ci, je ne passe pas forcément tous les jours, je n’avais pas vu le sujet hier.
Un peu trop acerbes? Ton premier message était un troll, ton second un troll, et tu traites de fanboy derrière ceux qui ne sont pas d’accord avec toi. Encore une fois, et comme très souvent dit, les critiques structurées ont totalement leur place ici, quel que soit le sujet, les phrases lancées comme ça sans aucune argumentation, dans le but de se lacher et/ou que les autres se lachent sur toi, non
La faille permet une élévation de privilèges.
Si seulement ils faisaient patcher leur propre OS
" />