Début mai, la société de Mountain View prévenait le père de Windows de la présence d’une brèche complexe – les détails sont donnés ici – permettant de contourner l'authentification sur le réseau.
En prenant en compte la période de 90 jours, l’entreprise de Redmond avait jusqu’au 5 août, mais elle a pu bénéficier d’un report jusqu’au Patch Tuesday quelques jours plus tard. Problème, cette mise à jour n’a pas entièrement bouché la faille selon Google.
L'entreprise a donc publié les détails, expliquant qu’un patch partiel ne permettait pas d’augmenter la période des 90 jours. Microsoft ne semble pour le moment pas avoir mis en ligne de nouveaux correctifs.
Commentaires (12)
#1
Google devrait se prendre une amende (conséquente) pour ces pratiques.
Si je découvre le moyen de pénétrer dans une banque, et que je la préviens de dévoiler comment faire si elle ne prend pas les mesures nécessaires, j’aimerais bien savoir ce qui va m’arriver; mais pas sûr qu’on m’applaudisse.
#1.1
Ne fais pas ça en France, on a un long historique… on tape sur les chercheurs en sécurité, on paie les rançons des hackers, et on ne corrige jamais les failles… Et après on dit aux gens de ne pas s’inquiéter
Le changement vers de bonnes pratiques est lent.
Et les banques, ça fait partie des plus lents, et de ceux avec les équipes juridiques les plus agressives.
#1.2
le truc c’est que google n’a rien fait d’illégal. Il y a un délai (indiqué dans l’article) après lequel un chercher ou une équipe trouvant une faille peu la publier.
Et puis il y en a qui ne se prive pas de faire la meme chose contre Google donc bon.
#1.4
Le délai c’est Google qui l’a décidé, ce n’est pas parce que tu décide que “au bout d’un moment je divulgue tout” que ça te dégage de toute responsabilité. Google le fait car ils sont assez gros pour se défendre et ne pas être inquiété.
#1.5
Moi j’aurais bien aimé que lq faille Gmail qoit divulguee au bout de 90 jours, sans attendre les 137.
Se foutent vraiment de la gueule du monde, chez Google
#1.3
Demande a Serge Humpich
#2
Ça a quand même pas mal évolué ces dernières années avec, notamment, YesWeHack lancer par Korben. Mais les banques, oui, c’est bloqué dans une autre époque… mais c’est les banques, elles espères rester dominante sur tout.
#3
Les gars, les banques c’était un exemple. 😅
#4
Non, c’est justement ça le problème: il manque une loi quelque part (on parle de la sécurité de nos PC quand même; qu’il y ait une faille n’est certes pas normal, mais que des abrutis -oui je parle de Google- dévoilent comment l’exploiter est inacceptable).
Ah oui, j’en avais vaguement entendu parler. Bah merci d’illustrer mes propos!
Sauf que les intentions de Google sont beaucoup moins bienveillantes, ce qui renforce mon opinion sur cette société, et confirme ce que je disais dans mon 1er message: ils devraient être punis.
#5
En quoi la taille importe ?
Un particulier qui découvre une faille dans Windows ou autre et qui la publie sur le Net ne risque rien.
C’est plus de la courtoisie et de l’éthique.
#5.1
l’article 323-3-1 du code pénal n’est pas aussi affirmatif sur l’absence de risque (enfin c’est un poil flou).
#6
Je ne suis pas sûr, il y a eu des précédents.
Surtout en la publiant.
Par contre, Google, “faites ce que je dis, pas ce que je fais” …
La faille Gmail il l’ont colmaté en 137 jours, … Aux dernières nouvelles 137 > 90 …