Google a révélé publiquement une faille zero day impactant l’OS de Microsoft. De quoi provoquer la fureur de Microsoft qui annonce ne pouvoir fournir de correction avant le 8 novembre.

Les experts en sécurité de Google ont encore frappé. Après avoir détecté une faille zero day activement exploitée par des pirates dans Windows, ils ont fini par la rendre publique ce 31 octobre parce que Microsoft n’avait pas réussi à la corriger en sept jours. La firme de Redmond ne décolère pas. « La décision de Google de divulguer ces informations avant que les correctifs ne soient testés et rendus largement disponibles est décevante et fait porter aux clients un risque accru », accuse Terry Myerson, le vice-président exécutif de Windows dans un post sur un blog officiel dédié à la sécurité. Ce dernier a aussi révélé que la brèche touche les versions allant de Vista à Windows 10 Anniversary Update.

De son côté Google affirme que la faille est « sérieuse » et déjà « activement exploitée », ce qui nécessitait de la révéler au plus vite au grand public, conformément aux règles que suit son équipe depuis 2013.
Ce n'est pas la première fois que les deux firmes se chamaillent à propos de vulnérabilités. En 2015 déjà, les hackers du Projet Zero de Google avaient publié des détails autour d'une faille critique de Windows 8... Ce qui avait provoqué la colère de Microsoft.

La double faille a été exploitée par le groupe Strontium

Mais cette fois, il y a effectivement urgence. Car la vulnérabilité que pointe du doigt Google a déjà été utilisée par un groupe de hackers particulièrement aguerri, afin de pirater des agences gouvernementales et des institutions politiques.
Ce groupe, que Microsoft baptise Strontium (mais qui est également connu sous le nom d'APT 28 ou de Fancy Bear), travaille de manière très professionnelle, grâce à un cocktail explosif combinant spear phishing (des e-mails ciblés vérolés) et dans ce cas pas moins de deux exploits profitant de failles zero-day, autrement dit pas encore "patchées".

La première, affectant le logiciel Flash, leur donnait la main sur le navigateur internet. La seconde, celle que Microsoft n'a pas corrigé, leur permet d'outrepasser la sécurité du navigateur pour prendre le contrôle de la machine. Ne leur reste plus alors qu’à installer une porte dérobée pour accéder quand ils le souhaitent à l’ordinateur sans se faire repérer.

Adobe a sécurisé Flash dès le 26 octobre dernier. De son côté, Microsoft affirme ne pouvoir corriger la faille avant le 8 novembre. En attendant, la société recommande à ses utilisateurs de passer à la version Windows 10 Anniversary Update dont la sécurité a été renforcée, et d'utiliser Edge, son nouveau navigateur.