Dix jours après avoir signalé à Microsoft une "sérieuse" vulnérabilité zero-day sous Windows 10, Google a dévoilé publiquement son existence. Pour Microsoft, ce sont surtout les méthodes de Google qui mettent en danger les internautes.

Google avait prévenu. Lorsque son équipe spécialisée dans la recherche de failles informatiques signalerait à une entreprise une anomalie, celle-ci disposerait alors de sept jours pour la corriger, ou, au moins, pour donner quelques consignes à ses utilisateurs afin que ces derniers puissent au mieux se protéger.

VOIR AUSSI : Apple a dû corriger en urgence de rarissimes failles de sécurité permettant d'infiltrer les iPhone

À vrai dire, elle aura même laissé dix jours à Microsoft pour agir. Le 21 octobre, Google prétend avoir prévenu la firme de Redmond qu’une faille "particulièrement sérieuse" menaçait Windows 10. De type "zero-day", c’est-à-dire encore inconnue du fabricant, elle est également signalée par les experts de Google comme "particulièrement exploitée".

Pas de quoi, visiblement, faire réagir Microsoft. À cette date, Google s’adresse directement à l’entreprise, lui laissant ainsi l’opportunité de prévenir elle-même les utilisateurs de Windows et de mettre au point les correctifs nécessaires.

Microsoft n’ayant toujours pas diffusé de patch ou même d’alerte dans les dix jours qui suivirent, Google a donc décidé, lundi 31 octobre, de dévoiler publiquement sur son blog les informations relative cette faille. Dans un registre plutôt alarmiste, l’équipe dédiée à la détection de ces vulnérabilités reste toutefois suffisamment vague sur le descriptif de la faille pour ne pas donner à de potentiels pirates de nouvelles clés.

La tension à son comble

De son côté, Microsoft ne semble pas du tout voir les choses de la même manière. Dans une déclaration relayée par le site Venture Beats, l’entreprise s’insurge : "Nous croyons en la divulgation coordonnée des vulnérabilités, et la divulgation faite aujourd'hui par Google met potentiellement nos clients en danger." 

"La divulgation faite par Google met potentiellement nos clients en danger"

Microsoft assure également que cette faille, qui concernait également Adobe Flash, a été largement limitée par le déploiement la semaine dernière d’une mise à jour du logiciel de contenus multimédias. "Par ailleurs, notre analyse indique que cette attaque spécifique n'a jamais été efficace sur Windows 10 Anniversary Update en raison des améliorations de sécurité précédemment mises en œuvre."

Terry Myerson, vice-président de la section Windows chez Microsoft, a mis en ligne plus d’informations sur le sujet, déclarant dans un même temps qu’un patch serait disponible le 8 novembre prochain.

Des précédents

Si Google a déjà signalé plusieurs failles de sécurité à des entreprises, ce n’est pas non plus la première fois qu’elle fait état de vulnérabilités sous Windows avant que des patchs ne soient prêts : en janvier 2015, deux failles sous Windows 8.1 avaient été signalées. Mais celles-ci n’étaient pas encore "activement exploitées"…

Quelque chose à ajouter ? Dites-le en commentaire.