Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Microsoft fustige Google pour les détails publics d’une faille corrigée demain

48 heures plus tard

Microsoft fustige Google pour les détails publics d'une faille corrigée demain

Le 12 janvier 2015 à 13h00

Coup de griffe : Microsoft a ouvertement critiqué Google pour avoir publié des informations sur une faille deux jours avant que le correctif ne soit disponible. Alors que Redmond rappelle qu’une concertation est nécessaire pour gérer les brèches, Google se défend de son côté en rappelant qu’elle en publie toujours les détails trois mois après leur découverte.

Les détails d'une faille révélés deux jours avant la publication du correctif

Microsoft et Google ont des politiques parfois incompatibles au sujet des failles. La firme de Mountain View dispose d’une équipe efficace de chercheurs en sécurité, souvent remerciés par la concurrence, y compris par Microsoft. Mais cette dernière est agacée : dans un billet publié hier, l’un des responsables de la sécurité, Chris Betz, critique Google pour avoir publié aux yeux de tous les détails d’une faille qui sera corrigée demain.

Pourquoi un tel empressement ? Parce que Google dispose d’une politique relativement stricte en la matière, le Project Zero. L’énoncé en est simple : les détails d’une faille seront publiés 90 jours après que l’éditeur concerné a été averti de la situation. Dans le cas présent, Microsoft a été averti le 11 octobre dernier, situant la date limite au 11 janvier, hier donc. Les détails de la faille sont alors devenus publics, provoquant la colère de Microsoft. Mais Google s’était déjà défendu lors d’un cas similaire en décembre dernier après trois mois de discussion.

Aucun avantage à une telle publication pour Microsoft

Chris Betz a donc exposé la vision de l’éditeur sur ce type de pratique, critiquant un calendrier aveugle : la politique des 90 jours est ce qu’elle est, mais pourquoi fallait-il absolument publier ces détails deux jours avant le correctif ? Pour Betz, il n’y a qu’une seule explication possible, Google ayant voulu jouer la carte « On vous a eus ! » plutôt que de jouer celle de la responsabilité.

La vision de Microsoft sur le sujet est clairement antagoniste. Il ne peut ainsi y avoir de publication des détails sans aucun contexte, ce qui est justement le résultat du Project Zero. Selon Chris Betz, de telles informations ne font qu’augmenter le danger et Google a tort de croire que les travaux s’en retrouveront non seulement accélérés, mais également que les utilisateurs seront mieux protégés. Comment ? Parce qu’ils seront avertis et prendront les mesures qui s’imposent.

C’est précisément là que Betz insiste : les utilisateurs ne sont en aucun cas mieux protégés, au contraire. Et la preuve en est évidente car quantifiable. Ainsi, selon des analyses internes, il n’y a pratiquement pas d’exploitation des failles révélées en privé, à l’inverse de celles qui deviennent publiques. Il est vrai d’ailleurs que l’immense majorité des utilisateurs n’a que faire de ce type d’informations et n’a que peu conscience des problématiques de sécurité. En outre, comme l’indique Betz, les détails de ces failles peuvent profiter aux pirates, tout en ne comportant aucune instruction pour les utilisateurs. Sans guide ou recommandations, comment se préparer à l’éventualité d’une attaque ?

Simple question de philosophie ou petit coup de griffe ?

Microsoft est en fait une fervente partisane de la méthode « Coordinated Vulnerability Disclosure ». Là encore, le principe est simple : les différents acteurs impliqués dans la chaine de sécurité communiquent de manière privée, et aucune information publique ne peut être donnée tant que le correctif n’est pas disponible. Le temps n’est donc pas un critère. Il y a cependant une exception : la découverte d’une exploitation de la faille pendant que l’éditeur travaille sur le correctif, auquel cas les détails deviennent publics, accompagnés de mesures de réduction des risques (« mitigation »).

Les deux firmes ont donc une vision opposée de la responsabilité envers les utilisateurs, mais la solution ne serait-elle pas quelque part à mi-chemin entre ces deux visions ? Par exemple, rendre les communications privées pour éviter que les pirates n’en profitent, tout en définissant un délai plus long au-delà duquel il serait évident que l’éditeur doit être « motivé ». 

Commentaires (77)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

les autres le font, c’est culotté de reprocher à d’autre de découvrir des failles, de les divulguer après 90 jours. Personne d’autre ne le fait.



Windows n’est plus un sac de nouille. Faut pas exagérer la complexité dans leur contexte. Ils ne sont pas nul à ce point. On parle d’une faille de W8.1, pas MS-DOS.

votre avatar







Ksass`Peuk a écrit :



et oui, c’est plus gros que Linux







Et non, a priori tu as tort :





  • Windows 7 : 40 millions de lignes de code

  • Debian 5.0 base : 65 millions de lignes de code.



    Si tu as des sources pour appuyer tes dires, merci de les citer.


votre avatar

Et pendant que Google est occupé à faire la guéguerre à MS, l’on apprend qu’ils ne jugent pas utile de patcher les failles d’Android : Faites ce que je dis, ne faites pas ce que je fais!

votre avatar







thbbth a écrit :



Et pendant que Google est occupé à faire la guéguerre à MS, l’on apprend qu’ils ne jugent pas utile de patcher les failles d’Android : Faites ce que je dis, ne faites pas ce que je fais!







Ça, c’est clairement dégueulasse, à la fois parce que Android 4.3 n’est pas vieux mais aussi parce qu’il représente la majorité des utilisateurs… Google devrait patcher, ils sont mauvais sur ce coup-là.


votre avatar

Et d’ignorer la grammaire, aussi.

votre avatar







Konrad a écrit :



Et non, a priori tu as tort :





  • Windows 7 : 40 millions de lignes de code

  • Debian 5.0 base : 65 millions de lignes de code.



    Si tu as des sources pour appuyer tes dires, merci de les citer.





    Debian base contient un quantité effroyable de drivers matériel. Ce n’est pas le cas de Windows.


votre avatar

Les autres?



Tu en connais beaucoup des boites qui maintiennent 8 versions d’os, et doivent tenir compte de quelques milliers de configurations différentes, avec l’obligation d’avoir des process pour valider au maximum la non régression tout en le mettant à dispo simultanément pour plusieurs centaines de millions de machines ?

votre avatar

<img data-src=" />

votre avatar







Ksass`Peuk a écrit :



Debian base contient un quantité effroyable de drivers matériel. Ce n’est pas le cas de Windows.







Et alors ? Tu as fait une comparaison en disant qu’il y a plus de lignes de codes dans Windows que dans Linux (une distro Linux j’imagine), mais tu n’as pas cité de source. Tu compares quoi, les noyaux seuls ? Les OS complets ? Les OS sans compter les pilotes ?



Bref, c’était une affirmation en l’air ou tu as un lien pour étayer tes dires ?


votre avatar

effroyable, effroyable … vite dis ça sans jamais avoir compté !





moi@salon:/usr/src/linux-source-3.2/drivers$ find . -type f | xargs wc -l



&nbsp; 1913550 total



moins de deux millions \o/, oui j’ai une debian, là ce ne sont que les drivers matériel, je t’autorise a les enlever du décompte total.



edit : je viens de tomber dans le troll !

votre avatar







Konrad a écrit :



Bref, c’était une affirmation en l’air ou tu as un lien pour étayer tes dires ?





J’essaie de retrouver le passage dans le dernier Tanenbaum demain (je l’ai pas sous la main).


votre avatar

Sous GNU/Linux, on n’attend pas une date précise pour publier le correctif - dès que c’est près, ça sort… C’est là où la sécurité par l’obscurantisme échoue chez les concurrents : ces gens manquent tout simplement de réactivité.

votre avatar







ouvreboite a écrit :



Peut être parce que MS se s’amuse pas à divulguer publiquement les failles de produits de ses concurrents en leur disant “je t’avais dit : &nbsp;90 jours”



Donc peut être que Google pourrait arrêter de nous les briser et réallouer son budget “je divulge les failles Windows parce que c’est marrant” vers son projet “ je me démerde pour que Android 5.0 bouffe pas de la mémoire pour rien”, voir même le projet “un jour Chrome OS saura lire un fichier mkv avec du son”.



Oh… un scroogle!&nbsp;<img data-src=" />


votre avatar

J’ai un nexus 5 et je viens d’acheter un chromebook…



Je parle en connaissance de cause. Et en tant qu’utilisateur Google je préfèrerais que Google pas moins de temps à s’occuper des fesses de MS et plus des siennes.

votre avatar

“dans le domaine des logiciels libres, une faille découverte est une

faille rendue publique (cf les exemples de HeartBleed, ShellShock, pour

ne parler que des plus récentes) ;”



Dans les cas cités (HeartBleed & ShellShock), les découvreurs de la faille ont pris soin d alerter les personnes responsables des paquets incriminés et autre dev (par ex les dev Debian) avant de la rendre public. Ce fut l histoire de 2-3j seulement.

Mais on peut difficilement comparer/discuter de la durée nécessaire à un patch sans connaitre son contexte. Je ne suis pas sûr qu une durée fixe soit une si bonne idée…

votre avatar

Ne pas avoir de Ctrl+F c’est la plaie. Et chercher dans un bouquin de 1500 pages, c’est chiant.

J’ai pas retrouvé tous les passages exacts mais j’ai celui-là :



A.Tanenbaum - Modern Operating Systems. “When essentials libraries are included [ndlr : grosso modo, l’API Win32 et le .Net minimal], Windows is well over 70 million lines of code” (ça exclut bien sûr les choses comme Windows Media, Internet Explorer, etc … qui feraient exploser littéralement le nombre de lignes). Les chiffres sont basés sur Windows 7, il n’y a pas d’info pour 8, mais a priori avec les nouvelles API + résidu historique, ça a dû gonfler pas mal.



Donc grosso modo, sur la code base Windows 7, c’était de l’ordre de 70 millions de lignes. Par contre je n’arrive pas à retrouver le passage vraiment intéressant qui concernait le kernel.

votre avatar

Plutôt du côté de Microsoft sur ce coup.

Il est un peu utopique de penser qu’un utilisateur va aller lire un billet publié par Google concernant les failles découvertes sur Windows.

Au delà même de le lire, je doute que, même si le billet était largement relayé, plus de 5% des utilisateurs Windows prennent la peine de désactiver temporairement tel ou tel service vulnérable le temps qu’un correctif soit dispo.

Après les règles sont les règles, on connait la politique de Google et de leur publications à m+3, mais à deux jours près…

votre avatar







Vincent a écrit :



Par exemple, rendre les communications privées pour éviter que les pirates n’en profitent, tout en définissant un délai plus long au-delà duquel il serait évident que l’éditeur doit être « motivé ».



Mais n’est ce pas déja le cas? Le délai de 3 mois n’est il pas assez long? Ou alors certaines failles seraient elles si complexes, qu’il pourrait y avoir besoin d’une ralonge pour les combler?


votre avatar

Je suis plutôt d’accord avec MS pour le coup. Surtout que les utilisateurs lambda des fois ne font pas les MAJ des failles connues (parce qu’ils n’y comprennent rien et parce que ça les gonflent).



C’est pas afficher le contenu de la faille en faisant “ha vous aviez qu’à vous bouger les fesses” qui va arranger la situation surtout à deux jours près… MS n’aurait même pas pris la peine de corriger la faille, je dis pas. Mais là, la correction doit être poussée sous peu, le comportement de Google est débile.

votre avatar

La première règle en matière de sécurité est de ne pas faire d’exception aux procédures.&nbsp;



Cependant la procédure de google est peut-être à revoir.

votre avatar

Je ne sais pas si trois mois c’est suffisant pour corriger tous les types de faille, mais je trouve ça bien de respecter un calendrier de la sorte. Ça met un coup de pression sur les éditeurs qui traînent parfois à combler les failles de leurs systèmes alors qu’ils ont été signaler depuis longtemps.



C’est plus le temps laissé par google qu’il faut juger en fait, et là j’ai du mal à me faire un idée.



S’ils acceptaient une demande pour repousser la publication alors tout le monde pourrait le faire, autant repousser le délais alors.&nbsp;

votre avatar







FunnyD a écrit :



Mais n’est ce pas déja le cas? Le délai de 3 mois n’est il pas assez long? Ou alors certaines failles seraient elles si complexes, qu’il pourrait y avoir besoin d’une ralonge pour les combler?



&nbsp;



Au plus une entreprise est grosse, au plus un soft, un OS, ou autre est compliqué, au plus il y a d’étapes&nbsp;administratives et de processus de validation. Je pense que les délais sont là pour ça.&nbsp;Il faut aussi pousser une MAJ sans flinguer&nbsp;l’existant, donc il faut tester pour vérifier l’absence de régression (MS a eu le problème il y a pas longtemps avec une MAJ foireuse).&nbsp;Bref, si tu veux faire les choses correctement, ça bouffe du temps.



Entre corriger le problème, tester que ça marche, tester que tu n’as rien cassé avec la maj, plus les différentes étapes de validation, je veux bien croire que 3 mois passent vite.


votre avatar

Ce qui est anormal et inadmissible, c’est de diffuser une faille de manière publique sans proposée de solution!!!!

votre avatar







FunnyD a écrit :



Mais n’est ce pas déja le cas? Le délai de 3 mois n’est il pas assez long? Ou alors certaines failles seraient elles si complexes, qu’il pourrait y avoir besoin d’une ralonge pour les combler?





Mais si ça se trouve le correctif est prêt depuis 1 mois, c’est juste que MS a un calendrier très précis de ses sorties. 1 jour de décalage sur une déclaration de faille peut faire que son correctif sera retardé d’un mois chez MS.



Entre demander à MS de modifier son calendrier de patch ou de sortir un patch en solo, et à Google de retarder de 2 jours la publication de sa faille, c’est pour Google que ça avait le moins d’INpact.


votre avatar







Ne2l a écrit :



Ouais, bonne question <img data-src=" />

Mais contrairement a M$ avec Windows, il me semble que le code source d’Android est en Open Source (corrigez-moi si je me trompe)

&nbsp;

Le second problème avec Android c’est qu’une fois que Google publie une nouvelle version, il faut encore que les opérateurs modifient leur propre version (celle avec tous leurs bloatwares) pour que la mise a jour soit disponible pour les utilisateurs (a moins d’avoir un Nexus ou un smartphone GPE).





Alors, Android est ouvert c’est sur mais l’AOSP n’est pas ce qui équipe la majorité des mobiles Android.&nbsp;



On va prendre le souci à l’envers. Microsoft découvre une faille sur Android, ils préviennent Google et tente de leur côté de voir ce qu’ils peuvent faire.



Ils se basent sur l’AOSP, corrigent et publient leur recommandations en plus dudit patch et ça s’arrêtera là… l’AOSP c’est pour CyanogenMod et autre ROM Custom et encore, elle ne sont que basées dessus. C’est pareil pour Google et les constructeurs, l’AOSP est tout simplement détournée pour en faire ce qu’ils veulent du coup ça rend caduque l’automatisation pour résorber la faille.



Pour l’exemple, beaucoup de failles de sécurité sur Android sont corrigées avec énormément de retard de la part des constructeurs parce qu’il faut adapter le code pour que ça corrige un souci et non en créer plein d’autres. Autre exemple, les mises à jours mineures de Google pour les Nexus qui se comporte différemment chez pas mal d’utilisateur. Dans un monde utopique, il suffirait de créer le patch, appuyer sur “envoie” et le souci serait réglé.. C’est pas le cas et nous ne sommes pas dans un monde utopique.

&nbsp;

Que ce soit pour Android en version constructeur, ROM custom, Mac OS X, Windows, code ouvert ou propriétaire, il faut adapter et tester avant de pouvoir sortir un patch. C’est du bon sens, du coup non, Google ne peut réagir en trois mois pour toutes les failles.



&nbsp;



&nbsp;





Konrad a écrit :



Comment proposer une solution quand le code source est fermé ? <img data-src=" />&nbsp;





Depuis quand a-t-on besoin du code source pour produire un patch ? Pour Windows, il arrive que ce soit des boîtes externes qui propose ça sans avoir accès au code source.


votre avatar







Konrad a écrit :



Je comprends parfaitement que les entreprises aient besoin d’un cycle régulier pour le déploiement des patches : contrôler les redémarrage, rester en production, etc. Ce que je ne comprends pas, c’est que le même cycle est imposé aux particuliers qui, eux, peuvent redémarrer tous les jours.





Parce qu’un patch est forcément rétro conàu pour comprendre ce qu’il corrige et trouver l’origine d’une faille.



Diffuser un patch en avance pour un type de consommateur c’est équivalent à publier les détails de la failles sans proposer de correctifs pour les autres utilisateurs. Ce qui est plutôt stupide (pourtant Apple l’avait fait à une époque en sortant un patch pour iOS sans fournir le pendant pour OSX pendant 2-3 semaines).


votre avatar







Konrad a écrit :



Comment proposer une solution quand le code source est fermé ? <img data-src=" />





Va voir la définition de workarround…



Khalev a écrit :



N’inverse pas les rôles, celui qui met des personnes à risque c’est un éditeur qui refuse de corriger un bug dont il est au courant. Pas ceux qui rapportent le bug de façon responsable.



Et c’est marqué où que Microsoft a refusé de corriger un bug? en dehors que Google le dit?

Et cela justifie de mettre à risque des milliers de clients?



Tu ne verras pas d’inconvénient à ce que je balance une bombe atomique sur la France, car une mouche m’emmerde? Tanpis pour les dommages collatéraux….


votre avatar







Mr.Nox a écrit :



Depuis quand a-t-on besoin du code source pour produire un patch ? Pour Windows, il arrive que ce soit des boîtes externes qui propose ça sans avoir accès au code source.











manus a écrit :



Va voir la définition de workarround…







Ah, et quand ce sont des boîtes externes qui patchent Windows, elles le font gratuitement j’imagine ?…



J’ai mal formulé ma question, mais dans le cas d’un logiciel libre n’importe quelle entreprise contribuant au code peut patcher (par ex. Google a proposé un certain nombre de patches à Linux et d’autres logiciels libres). Dans le cas d’un logiciel propriétaire, je ne vois pas pourquoi Google patcherait gratuitement une faille à la place de Microsoft.



Ce logiciel n’appartient qu’à Microsoft, il n’y a qu’eux qui se font de l’argent dessus, donc c’est à eux de le patcher. Dire que c’est «anormal et inadmissible», c’est complètement inverser les rôles.


votre avatar

Perso je suis plutôt du coté de Google. La politique des 90 jours est une sorte d’épée de Damoclès, qui garantit que les éditeurs vont se bouger le c et mobiliser tout les moyens nécessaires pour corriger une faille au plus vite. Ainsi, on est sur qu’ils ne seront pas tentés de grappiller quelques \( (ou millions de \)) en limitant les moyens consacrés à la correction des failles.



PS: comment explique t’on que les logiciels libre voient leurs failles en général corrigées dans les heures qui suivent, et que M$ ait besoin de plus de 90 jours pour faire de même?

votre avatar







manus a écrit :



en dehors que Google le dit?



Source? Parceque je n’ai vu ça nul part.



De plus concernant le workaround parfois il n’y en a tout simplement pas. Prend le cas de Thunderstrike, le workaround c’est de casser physiquement les ports thunderbolt… Génial, non?


votre avatar







lionnel a écrit :



PS: comment explique t’on que les logiciels libre voient leurs failles en général corrigées dans les heures qui suivent, et que M$ ait besoin de plus de 90 jours pour faire de même?





Plus de 90 jours pour publier la faille, pas pour corriger. C’est là qu’est tout la nuance. Comme je l’ai déjà dit, si ça se trouve la correction était disponible (corrigé, validée, & co) à t+60j. Sauf qu’il aurait fallu qu’elle soit disponible à t+59j pour être intégrée dans le patch.



En général quand tu remontes des failles et que tu les publies, tu discutes un peu avec la boite en question pour comprendre ses process et ne pas la mettre inutilement en difficulté. C’est n’est pas une règle gravée dans le marbre mais ça semble logique.

Après on a aucune idée de s’il y a eu des discussion en arrière-plan et comment elles se sont passée. Si ça se trouve ça s’est frité en arrière donc Google a voulu jouer au con. Ou alors ils n’ont eu aucun retour sur leur faille et pensait que MS avait oublié.


votre avatar

90 jours pour une faille connu sur un logiciel critique que l’on paye cher, c’est minable.



je vois pas comment on peut être du coté de MS. Sur Android, les applications sont mise à jours quasiment en temps réel, et je parle pas de l’OpenSource : On a JAMAIS eu à attendre autant sur TOUS les logiciels Open source connu, malgré leurs moyens bien inférieur.

&nbsp;

votre avatar







Khalev a écrit :



Après on a aucune idée de s’il y a eu des discussion en arrière-plan et comment elles se sont passée. Si ça se trouve ça s’est frité en arrière donc Google a voulu jouer au con. Ou alors ils n’ont eu aucun retour sur leur faille et pensait que MS avait oublié.







Ou alors il n’y a eu aucune discussion et chacun des deux s’en est simplement tenu à ses plans :





  • Google a publié la faille au bout de 90 jours.

  • Microsoft a inclus le patch dans ses Patch Tuesday.



    Et comme le premier tombe avant le second, c’est le drame.


votre avatar

tu connais 1 autre éditeur VIVANT mettant plus de 90 jours à corriger une faille critique?

votre avatar







Konrad a écrit :



Ou alors il n’y a eu aucune discussion et chacun des deux s’en est simplement tenu à ses plans :





  • Google a publié la faille au bout de 90 jours.

  • Microsoft a inclus le patch dans ses Patch Tuesday.



    Et comme le premier tombe avant le second, c’est le drame.





    C’est ce que je sous-entendais avec le “ils n’ont eu aucun retour de MS” qui implique qu’il n’y a eu aucune discussion et donc… faute à pas-de-bol.


votre avatar







TheDidouille a écrit :



tu connais 1 autre éditeur VIVANT mettant plus de 90 jours à corriger une faille critique?






Apple ? le fappening ? (EDIT: ce n'est que le premier qui vient)


nextinpact.com Next INpact


votre avatar

Microsoft s’attend à des cadeaux de la part de son ennemi ? Franchement drôle… Je vais sûrement dire une grosse bêtise, mais le “patch tuesday”, c’est pas gravé dans le marbre, si ? Ca coîte quoi si ça devient un “patch saturday” pour une fois ? Connaissant les règles, si MS avait mis en ligne son patch 3 jours plus tôt, l’affaire était réglée, non ?

Enfin, moi, je dis ça depuis mon linux, où les patches sont publiés dès leur validation, et plus ils sont importants plus ils sont vite publiés, donc j’ai pris de mauvaises habitudes… ;o)

votre avatar







Konrad a écrit :



Ah, et quand ce sont des boîtes externes qui patchent Windows, elles le font gratuitement j’imagine ?…



J’ai mal formulé ma question, mais dans le cas d’un logiciel libre n’importe quelle entreprise contribuant au code peut patcher (par ex. Google a proposé un certain nombre de patches à Linux et d’autres logiciels libres). Dans le cas d’un logiciel propriétaire, je ne vois pas pourquoi Google patcherait gratuitement une faille à la place de Microsoft.



Ce logiciel n’appartient qu’à Microsoft, il n’y a qu’eux qui se font de l’argent dessus, donc c’est à eux de le patcher. Dire que c’est «anormal et inadmissible», c’est complètement inverser les rôles.





En quoi ce serait gratuit, même pour du libre ? J’aime beaucoup l’idée que certains se font du libre… Comme quoi tout serait beau, partagé, gratuit… Wake Up ! C’est pas le cas.



Patcher gratuitement pourquoi ? Simple, mais tu restes aveuglé par le fait de vouloir opposer libre et propriétaire. Donc, simplement pour éviter une propagation et non il n’y a pas que Microsoft qui puisse patcher son OS, la preuve, des boites externes le font. Pareil pour le libre, pourquoi je devrai patcher gratuitement ? Google le fait gratuitement pour eviter de se mettre cette communauté a dos puisqu’ils en ont besoin pour leurs OS.


votre avatar

Microsoft connait le coup des 90 jours… plutôt que de râler maintenant, il aurait plutôt fallu contacter Google avant la publication de l’annonce.

votre avatar

Autant google n’a pas été sympa de ne pas repousser de deux jours la release de la faille, autant pour moi les 90j c’est une longue durée pour garder ce genre de chose secrète..



c’est à dire que pendant 90j, si un pirate exploite cette même faille, microsoft se retournera contre google en l’accusant d’avoir laissé leaker la faille au plus offrant? combien de personnes sont au courant de ces failles ? est ce qu’on peut leurs faire confiance?



Autant je veux bien que 90j c’est court dans un cycle de développement d’une code base comme celle de Microsoft, mais c’est une longue durée pour garder un secret qui a potentiellement un impact financier énorme pour Microsoft ..

votre avatar

Remarque que j’avais cru comprendre en te lisant que tu devais avoir une machine sous Andro LL et que tu avais au moins déjà essayé un chromebook. <img data-src=" />

Je trouve juste que dire à Google “mêlez-vous de vos fesses” n’est pas vraiment le sujet. Mais bon… je taquinais juste en passant… <img data-src=" />

votre avatar

On a souvent lu que la NSA faisait tout son possible pour abaisser la fiabilité des algorithmes de chiffrement, des générateurs de nombres aléatoires… voir, tout simplement, de la sécurité dans son ensemble.



Les États-Unis ont beaucoup misé sur leurs capacités offensives, au détriment de leur propre sécurité (et c’est à ce moment là que vous vous demandez quel peut bien être le rapport avec la choucroute).



Dans le même temps, la Chine, la Russie, et sûrement tout un tas d’autres pays (sans parler des groupes mafieux), se sont mis à engager des légions de développeurs, de hackers, d’experts en sécurité, pour lire chaque nouveau commit du kernel Linux et autres logiciels libres, pour voir si une faille exploitable ne se serait pas glissée dans la foulée. Et bien évidemment, même chose du côté de Windows, ou de tout autre logiciel populaire.



Croire que Microsoft et les USA peuvent encore prendre leur temps de corriger leurs failles, qu’il n’y a pas à s’inquiéter, qu’ils sont les plus forts et qu’il n’y a rien à craindre, me fait doucement rigoler.



Ça se trouve, la faille en question est déjà exploitée depuis belle lurette par le malware d’une force étrangère qui ciblerai précisément les USA. De l’un de ceux que l’on découvre de temps en temps et dont on apprend qu’ils sont en circulation depuis cinq ou six ans, et dont on apprend seulement maintenant l’existence.



Le monde a changé. De mettre trois mois à corriger une faille puis se décider à sortir le correctif, pour ensuite attendre encore quelques mois que les entreprises et autres administrations se décident enfin à mettre à jour, je trouve ça complètement aberrant et irresponsable.

votre avatar

En fait les logiciels libres patchés rapidement ainsi n’assurent aucun test de rétrocompatibilité en amont. Donc c’est rapide mais c’est potentiellement sale d’un point de vue client final qui ne peut pas forcément couper sa prod le temps d’un redéveloppement de composant. Ca n’est pas pratique du tout pour une DSI de bosser avec ce type de contrainte.



Ca déplace sur le client final la charge de se démerder en résumé…

Outre que ça implique une grande réactivité du client final, ça implique également un net surcout qui n’est absolument pas justifiable pour une faille non exploitée.

votre avatar

Adobe?

votre avatar







Ballos a écrit :



Bref du Microsoft pur jus, toujours les mêmes depuis 40 ans.



<img data-src=" />



Et sinon :




  • Si tu as des notions de dev/projet tu sais que ce n’est pas la quantité de devs qui accélère au delà d’un certain niveau. Sans bien connaitre Microsoft, on peut présumer qu’ils sont correctement organisés à ce niveau.

  • Oui, mais c’est valable pour les autres éditeurs aussi, patcher et rendre une faille publique n’y change rien, ça ne permet pas de remonter dans le temps sur l’exploitation de cette dernière.

    &nbsp;


votre avatar







calvin01 a écrit :



Je ne sais pas si trois mois c’est suffisant pour corriger tous les types de faille, mais je trouve ça bien de respecter un calendrier de la sorte. Ça met un coup de pression sur les éditeurs qui traînent parfois à combler les failles de leurs systèmes alors qu’ils ont été signaler depuis longtemps.



C’est plus le temps laissé par google qu’il faut juger en fait, et là j’ai du mal à me faire un idée.



S’ils acceptaient une demande pour repousser la publication alors tout le monde pourrait le faire, autant repousser le délais alors.&nbsp;





Objectivement je trouve que Microsoft gère pas mal au niveau du déploiement de patch. Certaines failles sont plus complexes que d’autres à résoudre j’imagine et 3 mois c’est parfois short pour tout combler en parallèle. Parfois une faille bien plus critique est découverte et on privilégie celle là plutôt que la mineure qui a été découverte il y a 2 mois et 20 jours.



Mais bon, deux jours plutôt ou pas, je pense sincèrement pas que ça change quoi que ce soit, ceux qui font les mises à jours ne seront surement pas impactés, ceux qui ne les font pas se mangeront surement des attaques, que ce soit ce mois ci ou le mois suivant.



Quand on voit Apple qui laisse trainer de loooongs mois certaines failles critique. Si je me souviens bien la faille sur iCloud qui permettait de bruteforcer la connexion sans jamais se faire rejeter par le serveur d’authentification, faille soupçonnée d’avoir été exploitée lors du hack des photos des célébrités, avait été signalée il y a des lustres.

Donc je pense pas qu’on puisse reprocher à Microsoft grand chose sur ce point.


votre avatar

Ils n’ont pas les ressources nécessaires pour corrigés les failles rapportées depuis 90 jours chez Microsoft <img data-src=" />?

&nbsp;

Enfin surtout ce n’est que le mardi que le correctif est publié chez Microsoft…<img data-src=" />

votre avatar







manus a écrit :



Ce qui est anormal et inadmissible, c’est de diffuser une faille de manière publique sans proposée de solution!!!!





Si t’as pas la main sur le soft, t’as pas le main sur le soft. Parfois c’est impossible de proposer une solution et l’éditeur ne veut pas corriger le truc. Donc faut bien faire pression sur lui, et pour ça la seule solution c’est de publier la faille.


votre avatar

Mouais je suis d’accord avec M$ sur ce coup-là. Ok ils ont un processus automatique qui publie au bout de 90 jours, mais dans ce genre de cas, personne ne viendra râler si le délai passe à 92 jours. Comme l’article le dit, le grand public n’a que faire de ce genre d’info (dont il ne connaît de toutes façons pas l’existence), en revanche les gens malintentionnés sont à l’affût.

Sans compter qu’entre la mise à disposition d’un correctif de sécurité et son application à chiffre au pif 60% du parc mondial concerné, il doit déjà y avoir pas mal de temps qui s’écoule…

votre avatar

question novice : Est-ce que Google fait la même chose avec des faille qu’ils découvrent eux même sur leurs propres produits ? A m+3 corrigé ou pas hop ils balancent ?

votre avatar

Ben perso 3 mois je trouve que c’est valable si tu pousses les MAJ de manière obligatoire chez les clients, sinon c’est le temps qu’il faut laisser entre publication du correctif et publication de la vulnérabilité histoire que tout le monde ait passé ses mises à jour.

Microsoft laissant le client libre de ptacher ou pas je pense que c’est juste de la mauvaise foi de la part de google et un outil anti concurentiel.



Google comme apple et tous les autres bricolos n’assurent quasi pas de rétrocompatibilité. Donc ils s’en foutent. Microsoft qui a plein de clients chez qui juste valider un patch pour un progiciel peut prendre plusieurs mois ne peut pas se le permettre.



C’est un signe de manque de professionnalisme de la part de Google et une pratique commerciale agressive et abusive. On ne peut qu’espérer que Microsoft porte plainte contre eux pour cela et qu’ils cessent immédiatement de se comporter comme des trous du <img data-src=" />

&nbsp;

votre avatar

C’est pas faux, c’est vrai que dans les grosses boites tout est plus lent <img data-src=" />

votre avatar







trash54 a écrit :



question novice : Est-ce que Google fait la même chose avec des faille qu’ils découvrent eux même sur leurs propres produits ? A m+3 corrigé ou pas hop ils balancent ?





En effet ce serait intéressant de voir si Google tient avec Android les mêmes délais qu’il impose aux autres constructeurs. J’en doute fort <img data-src=" />


votre avatar

Google n’a pas les mêmes contraintes de rétrocompatibilité surtout, les gens qui sont sur des applis SAAS n’ont effectivement pas de mises à jour à faire, c’est l’éditeur qui les pousse donc ça va plus vite. Dans le modèle microsoft, où les sociétés et particuliers sont souverains sur leur SI et leurs données il faut laisser au client final le temps de valider les correctifs proposés.

Généralement c’est sans douleur mais si ça implique le blocage de certaines fonctions, l’ajout de certificats, l’ouverture de droits supplémentaires etc. il faut que les clients finaux puissent tester et amender leur SI. 90 jours c’est beaucoup trop peu pour que tout cela ait lieu dans des SI complexes.

votre avatar

Ben attendu que les constructeurs ne poussent plus les mises à jour généralement un an à un an et demi après la vente des terminaux c’est quasi certain que non.

votre avatar







manus a écrit :



Ce qui est anormal et inadmissible, c’est de diffuser une faille de manière publique sans proposée de solution!!!!





Je suis persuadé que beaucoup de gens seraient intéressés par la possibilité de modifier eux-même le code source de Windows pour pouvoir proposer des corrections de bugs (et de failles de sécurité) a Microsoft. Malheureusement nous ne sommes pas dans le monde du logiciel libre ici…

&nbsp;

En regardant rapidement, il me semble que les gens de Google ont quand même bien documenté le problème et fourni une procédure de test. c’est déja une grande partie du travail qui est faite!


votre avatar







Cwoissant a écrit :



En effet ce serait intéressant de voir si Google tient avec Android les mêmes délais qu’il impose aux autres constructeurs. J’en doute fort <img data-src=" />



Ouais, bonne question <img data-src=" />

Mais contrairement a M$ avec Windows, il me semble que le code source d’Android est en Open Source (corrigez-moi si je me trompe)

&nbsp;

Le second problème avec Android c’est qu’une fois que Google publie une nouvelle version, il faut encore que les opérateurs modifient leur propre version (celle avec tous leurs bloatwares) pour que la mise a jour soit disponible pour les utilisateurs (a moins d’avoir un Nexus ou un smartphone GPE).


votre avatar







Khalev a écrit :



Si t’as pas la main sur le soft, t’as pas le main sur le soft. Parfois c’est impossible de proposer une solution et l’éditeur ne veut pas corriger le truc. Donc faut bien faire pression sur lui, et pour ça la seule solution c’est de publier la faille.









Ne2l a écrit :



Je suis persuadé que beaucoup de gens seraient intéressés par la possibilité de modifier eux-même le code source de Windows pour pouvoir proposer des corrections de bugs (et de failles de sécurité) a Microsoft. Malheureusement nous ne sommes pas dans le monde du logiciel libre ici…

&nbsp;

En regardant rapidement, il me semble que les gens de Google ont quand même bien documenté le problème et fourni une procédure de test. c’est déja une grande partie du travail qui est faite!





Je trouve hallucinant ce genre de propos, oui pour une faille connue, mais pas quand celle-ci est inconnue ou tellement pas qu’elle n’est pas exploitée, désolé mais là c’est Google, qui demande à ce qu’on pirate les clients de Microsoft et je trouve cela inadmissible.Et lire ça, après ce qu’il s’est passé du côté de Linux et le Open Source, est complétement irresponsable.Là, je vois juste des gens, qui prêche le monde OpenSource, et qui sont idiots. Ce n’est pas parce que c’est propriétaire, qu’il faut mettre des personnes à risque, qui n’ont rien demandé à Google ou à l’OpenSource!


votre avatar

Sachant que :





  1. il a été démontré que les fenêtres de vulnérabilité sont plus courtes (autrement dit les patches sont conçus plus rapidement) quand les failles sont publiques, et ce qu’il s’agisse de logiciels propriétaires ou libres ; la «sécurité par l’obscurité», ça ne paye pas.



  2. dans le domaine des logiciels libres, une faille découverte est une faille rendue publique (cf les exemples de HeartBleed, ShellShock, pour ne parler que des plus récentes) ; pour autant on ne peut pas dire qu’il y ait significativement plus d’exploits que chez les logiciels propriétaires, quand les failles sont gardées confidentielles.



    Je trouve que la politique de Google est claire pour le coup, et qu’elle est justifiée : ils ont trouvé une faille, ils en avertissent l’éditeur, et 90 jours après ils la rendent publique.



    Microsoft a été pris de court à cause de sa politique «on sort les patches le second mardi du mois», soit demain. S’ils veulent éviter une telle situation, soit ils sortent le patch en dehors de ce cycle, soit ils changent de politique de patch…



    Je comprends parfaitement que les entreprises aient besoin d’un cycle régulier pour le déploiement des patches : contrôler les redémarrage, rester en production, etc. Ce que je ne comprends pas, c’est que le même cycle est imposé aux particuliers qui, eux, peuvent redémarrer tous les jours.



    Si j’ai bien compris, avec Windows 10 Microsoft a l’intention de dissocier les entreprises (cycle régulier de patch) et les particuliers (distribution de patches en continu). Ça semblerait déjà plus logique.








    manus a écrit :

    Ce qui est anormal et inadmissible, c’est de diffuser une faille de manière publique sans proposée de solution!!!!






    Comment proposer une solution quand le code source est fermé ? <img data-src=" />

votre avatar

Tout à fait d’accord à tous les niveaux, mais j’irai même plus loin :

&nbsp;







&nbsp;Konrad a écrit :



Je comprends parfaitement que les entreprises aient besoin d’un cycle régulier pour le déploiement des patches : contrôler les redémarrage, rester en production, etc. Ce que je ne comprends pas, c’est que le même cycle est imposé aux particuliers qui, eux, peuvent redémarrer tous les jours.





La politique d’application des patchs dans une entreprise doit être gérée par l’entreprise. Ce n’est pas à Microsoft de gérer ça. Si une entreprise préfère redémarrer ses serveurs le vendredi pour appliquer les correctifs, je ne vois pas pourquoi on l’en empêcherait….


votre avatar







manus a écrit :









N’inverse pas les rôles, celui qui met des personnes à risque c’est un éditeur qui refuse de corriger un bug dont il est au courant. Pas ceux qui rapportent le bug de façon responsable.


votre avatar

C’est ce qui a été fait…

Microsoft avait demandé de décaler de 2 jours la publication le temps que le patch tuesday arrive à son rythme habituel (car le correctif de la faille est bien prévu pour mardi). Google a dit non.



Du coup si Microsoft voulait éviter ce problème, selon leur politique de mise à jour, ils auraient eu 28 jours de moins pour travailler sur la maj.

votre avatar

Tu veux dire, comme ce qu’ils expliquent texto dans leur billet?





CVD philosophy and action is playing out today as one company - Google - has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.

votre avatar







Mr.Nox a écrit :



En quoi ce serait gratuit, même pour du libre ? J’aime beaucoup l’idée que certains se font du libre… Comme quoi tout serait beau, partagé, gratuit… Wake Up ! C’est pas le cas.



Patcher gratuitement pourquoi ? Simple, mais tu restes aveuglé par le fait de vouloir opposer libre et propriétaire. Donc, simplement pour éviter une propagation et non il n’y a pas que Microsoft qui puisse patcher son OS, la preuve, des boites externes le font. Pareil pour le libre, pourquoi je devrai patcher gratuitement ? Google le fait gratuitement pour eviter de se mettre cette communauté a dos puisqu’ils en ont besoin pour leurs OS.







Google patche «gratuitement» Linux et d’autres logiciels libres, parce qu’ils s’en servent, parce qu’ils distribuent des logiciels et OS basés dessus (Android, ChromeOS). Donc ils y ont clairement un intérêt direct, ils font leur beurre là-dessus, ça c’est clair. Sauf que leurs patches sont accessibles à tout le monde, y compris à la «communauté» comme tu dis, mais surtout à d’autres entreprises qui utilisent, développent et patchent aussi ces mêmes composants. L’inverse est aussi vrai : quand d’autres entreprises apportent des patches (IBM, Red Hat, Intel…), alors Google en profite.



En revanche j’ai beaucoup plus de mal à voir l’intérêt qu’aurait Google à patcher Windows gratuitement. Ça profiterait clairement à Microsoft : un patch gratuit, ça évite de le développer eux-mêmes, c’est de l’argent d’économisé. Mais l’intérêt pour Google ? Éviter la propagation d’un malware ça serait bien pour tout le monde, mais si un malware se propage ce n’est pas l’image de Google qui sera ternie. Donc encore une fois : pourquoi Google dépenserait du temps et de l’argent à proposer un patch, alors qu’ils n’ont rien à y gagner ?



Dans le monde des bisounours, Google aurait pu proposer un patch pour le bien commun, pour éviter le développement d’un malware… Seulement c’est une boîte à but lucratif, comme Microsoft. Google ne va sûrement pas assumer les coûts des patches de Microsoft. D’ailleurs l’inverse ne se fait pas non plus : le jour où Microsoft développera un patch pour Android ou Chrome OS on pourra en reparler…



Et encore une fois, je suis sûr que Microsoft avait le patch sous le coude depuis plusieurs jours. On ne me fera pas croire qu’ils le testent jusqu’à aujourd’hui, pour le sortir demain. Donc, si Microsoft n’a pas sorti le patch avant la divulgation, c’est à cause de sa politique de Patch Tuesday. Pas parce que Google a fait ce qu’il avait dit qu’il ferait (i.e. divulguer à 90 jours).


votre avatar

Ou ai-je parlé de Google pour les contributeurs ? Ou ai-je parlé de malwares ? La plupart des fails critiques permettant d’infecter plus profondément les OS ne proviennent quasi plus de l’OS lui même…



Pour ce qui est de patcher gratuitement un OS, simple, c’est un vecteur pour attaquer/infecteur d’autres PC, donc quelque chose qu’il faut stopper tout simplement.



Et je n’ai pas non plus parlé de savoir si MS avait ou non le patch sous le coude.

votre avatar







Tolor a écrit :



Tu veux dire, comme ce qu’ils expliquent texto dans leur billet?







D’accord, donc apparemment il y a bien eu une discussion, et Google n’a rien voulu entendre. Soit.



Devant ce refus Microsoft avait deux choix :





  1. sortir le patch plus tôt, en dehors du cycle Patch Tuesday (ça s’est déjà fait) ;

  2. s’en tenir au Patch Tuesday, en sachant que Google allait publier l’info avant.



    La question devient donc : pourquoi ont-ils fait le choix No.2 ? Y avait-il une raison technique qui empêchait de sortir le patch en dehors du cycle ?



    Dans tous les cas, comme ça a été dit, 90 jours ça veut dire une faille connue qui reste ouverte pendant 3 mois, c’est énorme… Peu d’éditeurs prennent un tel risque.


votre avatar







Tolor a écrit :



Tu veux dire, comme ce qu’ils expliquent texto dans leur billet?





Tu veux dire qu’en plus de lire la news, faut en plus lire les sources?



On a pas le temps, on bosse nous! <img data-src=" />


votre avatar







Tolor a écrit :



Tu veux dire, comme ce qu’ils expliquent texto dans leur billet?





Ah oui <img data-src=" /> , c’est un un point qui aurait dû être précisé dans la news celà dit… c’est un point important quand même;







Linvite a écrit :



C’est ce qui a été fait…

Microsoft avait demandé de décaler de 2 jours la publication le temps que le patch tuesday arrive à son rythme habituel (car le correctif de la faille est bien prévu pour mardi). Google a dit non.



Du coup si Microsoft voulait éviter ce problème, selon leur politique de mise à jour, ils auraient eu 28 jours de moins pour travailler sur la maj.







Effectivement, ou alors sortir le patch hors cycle ? Je sais bien que les iNpacts ne sont pas les même entre un sortir un bulletin et publier un patch mais à la limite pourquoi Google devrait faire exception à son calendrier et pas Microsoft ?



Je suis assez d’accord celà dit que c’est un peu con pour 48h de vendre la mèche mais bon… le bulletin de Microsoft génère maintenant une belle pub autour de cette faille aussi <img data-src=" />


votre avatar







Mr.Nox a écrit :



Pour ce qui est de patcher gratuitement un OS, simple, c’est un vecteur pour attaquer/infecteur d’autres PC, donc quelque chose qu’il faut stopper tout simplement.







Ça, on est tous d’accord pour dire qu’il faut patcher, qu’il faut éviter que des failles restent ouvertes, etc.



Une fois cela dit, on n’a rien dit, et la question qui se pose est : qui doit assurer le coût du patch ? La réponse la plus évidente est : l’éditeur du logiciel.



Reprocher à Google de ne pas avoir proposé de patch, c’est réfléchir à l’envers. Selon cette logique, si par exemple demain Microsoft trouve une faille dans un logiciel Oracle, ce sera à Microsoft de patcher ?… Soyons sérieux : c’est l’éditeur qui doit patcher, point barre. Si un autre éditeur le fait gratuitement, c’est du bonus et c’est tant mieux, mais ça n’est pas la règle. C’est tout ce que je dis.


votre avatar

Je n’ai pas dit que Google aurait du proposer le patch, je sais pas ou t’as lu ça, mais ça ne vient pas de moi. Ne fait pas de cross-post. Je répond a ta propre question “comment proposer un patch quand le code est fermé” par une autre question, comment font ceux qui patch sans avoir acces au code source, ensuite t’es parti sur le début de mon post expliquant que non, c’est pas plus simple de coller une rustine sur de l’AOSP que sur Windows.



Si tu veux mélanger les propos soit, mais pas les miens. :)

votre avatar







Mr.Nox a écrit :



Je n’ai pas dit que Google aurait du proposer le patch, je sais pas ou t’as lu ça, mais ça ne vient pas de moi. Ne fait pas de cross-post. Je répond a ta propre question “comment proposer un patch quand le code est fermé” par une autre question, comment font ceux qui patch sans avoir acces au code source, ensuite t’es parti sur le début de mon post expliquant que non, c’est pas plus simple de coller une rustine sur de l’AOSP que sur Windows.



Si tu veux mélanger les propos soit, mais pas les miens. :)







OK au temps pour moi, à un moment j’ai cru que tu soutenais le message #7, qui reprochait à Google de ne pas avoir proposé de patch.



Mes excuses <img data-src=" />


votre avatar

Personne ne se demande comment ça se fait que c’est encore le seul Microsoft qui est à se plaindre…





Message à Microsoft : Engagez du personnel et cessez de vous plaindre, car vous semblez ridicule &nbsp;à toujours être le seul à vous plaindre quand le reste de l’industrie travaille à protéger ses outils..



&nbsp;Pourtant ils ont des marges de plus 42% selon leurs derniers bilans, bien au delà de Apple qui pointe autour de 37%, c’est pas l’argent qui manque, sauf quand on s’en fout un peu &nbsp;de ses clients..

votre avatar

Peut être parce que MS se s’amuse pas à divulguer publiquement les failles de produits de ses concurrents en leur disant “je t’avais dit : &nbsp;90 jours”



Donc peut être que Google pourrait arrêter de nous les briser et réallouer son budget “je divulge les failles Windows parce que c’est marrant” vers son projet “ je me démerde pour que Android 5.0 bouffe pas de la mémoire pour rien”, voir même le projet “un jour Chrome OS saura lire un fichier mkv avec du son”.



Et puis, peut être que si c’est pas l’argent qui manque c’est que, justement, c’est pas un problème de moyen, mais un problème de “on doit sortir un patch pour xxxxx versions sur yyyyy configurations différentes, de manière transparente, en testant tout”, le tout sans perturber le calendrier des adminstrateurs IT de leur clients qui s’attendent (et sont préparés) à un patch le deuxième mardi du mois, et pas quand ca chante à Google.

votre avatar

???&nbsp;



Donc ils ont pas les moyens pour recruter du personnel compétent &nbsp;pour la sécurité de leurs clients ?? (la boite IT la plus rentable)&nbsp;&nbsp;

Donc des pirates qui ont découvert cette faille avant Google&nbsp;(oui Google n’a pas le monopole de découverte de failles)&nbsp;&nbsp;peuvent continuer à l’exploiter ??





Bref du Microsoft pur jus, toujours les mêmes depuis 20 ans.

votre avatar







Ballos a écrit :



Message à Microsoft : Engagez du personnel et cessez de vous plaindre, car vous semblez ridicule &nbsp;à toujours être le seul à vous plaindre quand le reste de l’industrie travaille à protéger ses outils..



&nbsp;Pourtant ils ont des marges de plus 42% selon leurs derniers bilans, bien au delà de Apple qui pointe autour de 37%, c’est pas l’argent qui manque, sauf quand on s’en fout un peu &nbsp;de ses clients..





Ouais bien sûr, c’est bien connu, mettre plus de personnes sur le même travail le fait avancer plus vite. De même que mettre 9 femmes sur une même grossesse permet d’avoir un enfant en un mois.



Réaliser un build fonctionnel sur un monstre de code comme Windows, c’est pas de l’ordre du facile.



&nbsp;Pire encore si on a une importante faille qui est due à un défaut structurel, la quantité de code à modifier peut être malheureusement assez énorme. Et dans un projet de cette taille, tout le monde ne connaît pas toute la machine, donc s’il faut mettre un gros paquets de personnes différentes (qui ne font pas que corriger des bugs toute la journée, hein, ça peut paraître dingue mais en vrai il y a plein d’autres tâches à réaliser) sur un même bug impactant une vaste portion de code et demandant de repasser une grande quantité de tests de non-régression (en plus du nouveau test à ajouter pour s’assurer que la faille est corrigée), oui, ça peut prendre du temps.



3 mois si la faille est très complexe, ça ne semble pas complètement surréaliste, surtout pour un OS qui est arrivé à la complexité de Windows (et oui, c’est plus gros que Linux, et non Linux est loin d’être un exemple de beau code, il a les mêmes tares que les autres).


votre avatar







Ballos a écrit :



???&nbsp;



Donc ils ont pas les moyens pour recruter du personnel compétent &nbsp;pour la sécurité de leurs clients ?? (la boite IT la plus rentable)&nbsp;&nbsp;

Donc des pirates qui ont découvert cette faille avant Google&nbsp;(oui Google n’a pas le monopole de découverte de failles)&nbsp;&nbsp;peuvent continuer à l’exploiter ??





Bref du Microsoft pur jus, toujours les mêmes depuis 20 ans.





Tu crois vraiment que MS n’a pas de personnel compétent ?



&nbsp;Et c’est quoi le rapport avec la rentabilité ? Apple, Google, Oracle, … Ils sont tous rentables, pourtant aucun ne corrige ses failles en 0 jours. C’est quoi la formule à appliquer ? durée de correction = 90/taux de rentabilité ?


votre avatar

Dans le monde informatique un tant soit peu complexe, on ne patche pas des logiciels à plusieurs millions de ligne de code à la va vite sans vérifier les potentiels régressions.

Une faille méconnue est peut être moins dangereuse qu’une régression majeure sur un des milliers/millions de clients.



Vu la quantité d’architecture supporté et la taille de Windows, un cycle complet de qualification doit bien leur prendre quelques semaines.

Microsoft fustige Google pour les détails publics d’une faille corrigée demain

  • Les détails d'une faille révélés deux jours avant la publication du correctif

  • Aucun avantage à une telle publication pour Microsoft

  • Simple question de philosophie ou petit coup de griffe ?

Fermer