Microsoft vient d’annoncer une modification importante des conditions de sécurité pour plusieurs de ses boutiques en ligne, y compris le Windows Store. Effective dès maintenant, elle prévoit notamment que les applications tierces auront interdiction de laisser filer des failles de sécurité pour une période supérieure à 180 jours.
Dans une annonce publiée hier, Microsoft détaille une nouvelle politique de sécurité pour l’ensemble des applications tierces hébergées sur ses boutiques en ligne. Cela concerne donc le Windows Store de Windows 8 et 8.1, le Store de la plateforme Windows Phone mais également l’Office Store et l’Azure Marketplace.
L’éditeur profite de la publication des dernières mises à jour de sécurité hier pour imposer une condition : en cas de détection d’une faille importante ou critique, l’éditeur ne devra pas dépasser un délai de 180 jours pour colmater la brèche. Ce délai n’est valable que dans le cas où ladite faille ne serait pas déjà exploitée massivement. Si tel est le cas, ou si l’éditeur dépasse ce délai de six mois, l’application pourra être retirée de la boutique.
Microsoft note toutefois que des cas rares peuvent exister où un éditeur aura besoin d’un délai supplémentaire. La firme se dite prête à mettre la main à la pâte pour accélérer le processus si nécessaire.
Maintenant, une question se pose : Microsoft pourrait-il utiliser le fameux « kill switch » qui permet de supprimer à distance toutes les copies installées d’une application si celle-ci se révèle trop dangereuse à cause d’une faille non corrigée ? Nous l’avons posée à Microsoft et nous attendons actuellement une réponse de l’éditeur.
Commentaires (36)
Microsoft pourrait-il utiliser le fameux « kill switch » qui permet de supprimer à distance toutes les copies installées d’une application si celle-ci se révèle trop dangereuse à cause d’une faille non corrigée ?
Effectivement, c’est une solution qui pourrait être envisagée au bout des 180 jours. Personnellement je la trouve un peu radicale, je n’aime pas qu’un éditeur décide à distance ce qui peut être installé ou désinstallé sur ma machine…
Sinon dès qu’une faille est révélée, il serait peut-être possible d’avoir un message du système disant «telle application peut présenter des risques»…
Franchement c’est l’hopital qui se fout de la charité, à moins qu’il ne retire leurs propres applications eux-mêmes… Mais ça j’ai du mal à y croire.
[Edit] Oh wait, j’ai rien dit, j’ai oublié mes cours de calcul mental
" />
N’empêche,6 mois, ça fait long pour une faille…
On est en pleine mascarade.
Microsoft et d’autres ont subis des vieux 0-day, qui dataient de plus de 6 mois. Même s’ils mettent peu de temps à réagir, dans le concept, ça dérange.
En entreprise, on peut utiliser des vieux softs potentiellement troués, mais dans des environnements cloisonnés. Si on veut réinstaller ou restaurer une plateforme, comment fait-on avec ces concepts de stores ?
Jouer la transparence, et afficher une alerte avant installation serait préférable.
Si en plus, comme le cite l’actu, il se décide un jour, de jouer avec le “kill switch”…
On est en plein dans le logiciel privateur.
Je vois plutôt la solution que Microsoft pourrait simplement la supprimer du store si après 180 jours rien n’est fait. Après la question est surtout quid des gens ayant déjà installée, l’application présentant des failles ? Parce que je vois bien des gens se retourner contre Microsoft pour ne pas les avoir prévenus du risque de telle ou telle application, de même si le “kill switch” est utilisé. A la limite, il pourrai lancer une sorte de “kill switch” informant du risque présenté par telle application et nous demandant si on souhaite la supprimer ou la laisser tout en étant conscient de risque encouru en utilisant l’app. Comme ça Microsoft aura pu informer les utilisateurs tout en ce dédouanant auprès de ceux qui l’auront conservé.
Mais 6 mois c’est déjà énorme globalement…
" />
J’ose espérer que les éditeurs avaient pas besoin de ça pour y penser.
Je sais pas si c’est voulu, mais
" /> pour le sous titre 
" />
Pour les 6 mois il faut comprendre qu’il y aura toujours beaucoup plus d’utilisateurs de Windows que n’importe quelle application. De plus les applications métro sont sandboxées. Ca limite pas mal l’exploitation comparé à une application Win32. Mais on peut toujours accéder aux données de l’application. Du coup 6 mois c’est pas forcément si long.
" />
Par contre je me souviens d’une étude il y a quelques années qui prédisait que les attaques se reporteraient a terme sur les applications les plus utilisés à cause du nombre de technologie de défense dans Windows qui rend de plus en plus difficile une exploitation. Visiblement on y est
Y a que moi que ça ne choque pas plus que ça ? (si on enlève le kill switch qui lui est très discutable)
Je vois dans la grande distribution c’est la même chose (et pour moi le store c’est de la distribution).
Prenons un exemple : un fournisseur met en distribution dans ton magasin un barbecue au gaz, après nu mois de vente tu détectes un problème dans l’un des modèles qui a les pieds qui lachent régulièrement. Tu préviens le fournisseur que s’il ne fixe pas ce problème dans les six mois il ne sera plus vendu dans ce magasin.
Ouais ça me choque pas.
Parce que bon au final ton logiciel, même s’il n’est plus installable par le store restera installable normalement hein…
c’est Sun Microsystems qui va être content
" />
[quote=“hadoken”]Microsoft patche ses failles avant 6 mois hein… Le tuesday patch c’est tous les mois. [/quote]
" />
Je commente jamais (d’ailleurs c’est mon premier commentaire sur PCI depuis des années que je traîne ici) mais là c’est trop gros.
C’est sûr, c’est pas comme si MS était connu pour ne corriger ses failles que plusieurs années après leur découverte, seulement lorsqu’elles commencent à être exploitées publiquement…
Ca, c’est une autre faille :http://www.pcinpact.com/news/79951-windows-faille-0day-rendue-publique-par-ingen…
" />
Celle dont on parle est ici :http://www.pcinpact.com/news/55058-windows-faille-17-ans-nt-ntvdm-bulletin.htm
Ou alors, après PRISMGate, PCIGate ?