Google joue au « white hat » aux dépens de Microsoft

Sur le web

Par Elodie le

La chasse au bug est une affaire de hackers, éthique ou non. Mais lorsque Google débusque une faille sur Windows, et la rend publique, Microsoft voit rouge.

google-white-hat-microsoft

Entre Google et Microsoft, c’est « Je t’aime, moi non plus ». Après une guerre froide de plusieurs années qui a vu les deux géants s’affronter à coup de poursuites judiciaires et autres plaintes relatives à des brevets, Mountain View et Redmond actaient leur paix juridique en octobre dernier.

Pour sceller cette lune de miel, Microsoft s’était même retiré des collectifs ICOMP et Fairsearch qui dénonçaient les pratiques abusives du géant californien Google.

Google V Microsoft : une paix récente…

Une paix fragile que Google vient peut-être de faire voler en éclat. En cause ? Une vulnérabilité décelée sur le célèbre système d’exploitation maison de Microsoft.

La chasse au bug est une pratique courante dans le secteur high-tech. Les plus grands noms de la Silicon Valley (Twitter, Telsa, Facebook Yahoo ou Apple récemment) et de l’IT rémunèrent ces failles débusquées par les experts en sécurité informatique et/ou les hackers qui éprouvent la sécurité de leurs systèmes.

microsoft-google-faille

On les nomme « white hat » lorsqu’ils sont bien intentionnés, en opposition aux « black hat » qui préfèrent taire leurs découvertes pour les exploiter et/ou la vendre au plus offrant.

Si Google a dépensé plus de 2 millions de dollars en 2015 pour acheter des failles découvertes dans ses logiciels et les corriger, il lui arrive aussi de se trouver dans la position inverse.

… qui vient de voler en éclat ?

Les experts en sécurité informatique du moteur de recherche ont ainsi débusqué une faille « critique » sur Windows. Comme de coutume, ils ont prévenu Redmond de leur découverte. Face à l’absence de réaction de Microsoft, et devant cette vulnérabilité « particulièrement sérieuse », Google a préféré la rendre publique, car celle-ci est « activement exploitée ».

Comme la firme s’en explique dans un billet de blog, le 21 octobre dernier, elle rapporte des failles « zero day » à Adobe et Microsoft. Adobe procède à une mise à jour 5 jours plus tard, quand Microsoft se démarque par son silence radio.

Impatient Google ? Comme l’explique Le Monde, le géant californien se permet de rendre publique les failles découvertes si elles ne sont pas corrigées dans un délai de 7 jours.

microsoft-google-zero-day

Une faille critique « activement exploitée » sur Windows

« Sept jours est un délai très serré, et cela peut être trop court pour que certaines entreprises mettent à jour leurs produits, mais cela devrait suffire pour qu’elles publient des conseils pour limiter les risques. »

Conformément à sa politique dans ce type de cas, Google a donc dévoilé l’existence de cette vulnérabilité une semaine plus tard et mis en garde les utilisateurs. Une précaution qui n’a pas été du gout de Microsoft.

Interrogé par Venture Beat, un porte-parole de la société de Microsoft a ainsi considéré que cette annonce « mettait potentiellement en danger les consommateurs ». Google estime de son côté qu’en l’absence d’avertissement ou de correctif elle était dans son droit. Sans pour autant apporter de conseils pour se prémunir d’une telle vulnérabilité.

Google a cependant précisé avoir procédé à une mise à jour de son navigateur Chrome pour protéger ses utilisateurs et conseillent à ceux de Microsoft de vérifier la mise à jour de Flash et d’appliquer les correctifs Windows… lorsque ceux-ci seront rendus disponibles par Microsoft. Outch !

Source: Source