Google vient à nouveau de dévoiler les détails d’une faille de sécurité dans Windows. Comme les fois précédentes, le Project Zero en détaille le fonctionnement, Microsoft n’ayant pas réagi durant le délai de 90 jours. C’est la troisième fois depuis le début de février.

Le Project Zero de Google réunit un certain nombre d’employés de l’entreprise, dont la mission est de débusquer et signaler les failles aux éditeurs concernés. Le règlement, bien qu’assoupli il y a quelques mois, reste strict : une entreprise a 90 jours pour réagir à la remontée faite par Google, sans quoi les détails seront publiés, éventuellement accompagnés d’un prototype d’exploitation.

Troisième fois en moins d'un mois

Sur le seul début d’année 2017, le Project Zero a déjà publié deux fois les détails de brèches signalées à Microsoft, qui n’a pas réagi dans les temps. Il faut en ajouter une troisième : après SMB et la GDI, place à Internet Explorer 11 et Edge.

Les deux navigateurs sont touchés par une vulnérabilité (CVE-2017-0037) qui peut entrainer un plantage, ouvrant la voie à une potentielle attaque à distance, dont le résultat serait une élévation des privilèges. Le chercheur ayant découvert le problème, Ivan Fratric, parle de « confusion des types ». Une page web spécialement conçue (code spécifique dans les CSS et le JavaScript), pourrait aboutir à une exécution de code à distance.

La dangerosité de la faille n’est pas directement abordée, mais tout porte à croire qu’elle est élevée puisqu’il y aurait exécution d’instructions distantes, sans que l’utilisateur n’ait à valider quoi que ce soit. Et malheureusement pour Microsoft, les explications d’Ivan Fratric sont accompagnées d’un prototype d’exploitation.

Tous les utilisateurs sous Windows 7, 8.1 et 10

Microsoft n’a pour l’instant pas réagi à la publication de ces informations, mais le danger est concret. On ne sait pas si l’éditeur prépare un correctif ou l’a déjà, un problème technique ayant repoussé l’intégralité des bulletins de février à mars. Comme pour la faille précédente, la solution était peut-être prête, mais il faudra attendre dans tous les cas le 14 mars pour que les prochains pansements numériques soient appliqués.

Le danger est d’autant plus sérieux que durant cet intervalle, les pirates potentiellement intéressés par cette vulnérabilité disposent désormais de tous les détails et d’un code d’exploitation fonctionnel leur montrant la voie. En outre, toutes les versions 32 et 64 bits d’Internet Explorer 11 et Edge sont affectées. Autrement dit, tous les utilisateurs sous Windows 7, 8.1 et 10 sont touchés.

Le règlement est clair, mais...

Il est probable que Microsoft s’agace de cette situation, puisque c’est la troisième fois en moins de trois semaines que le Project Zero publie les détails de failles non-corrigées, donc 0-day. Cela étant, la politique de Google sur tout ce qui est trouvé par ce groupe est limpide. Dans le cas présent, la faille a été remontée à Microsoft le 25 novembre. Puisque aucun correctif n’était disponible le 25 février, la procédure a suivi son cours.

Il est probable que cette série de publications relance le débat sur la manière dont les failles sont divulguées aux éditeurs. Pour Microsoft, elle doit être systématiquement « responsable », c’est-à-dire privée, pour éviter qu’une attaque apparaisse avant le correctif (la faille peut être plus ou moins complexe à colmater). D’autres militent au contraire pour une transparence totale. Le Project Zero de Google se situe finalement entre les deux, mais sans explications supplémentaires de Microsoft, on ne saura pas pourquoi un tel silence dans le temps imparti.

En attendant, la solution pour les utilisateurs n’est guère complexe : utiliser un autre navigateur le temps que le problème soit résolu, et éviter de cliquer sur des liens externes provenant de sources « louches ».