La faille de Windows 8.1

Mise à jour du 13 janvier 2015 :

Microsoft a réagi face à la divulgation de la part de Google concernant la faille de sécurité de
Windows 8.1. Et l'éditeur de Redmond n'est pas tendre par rapport à l'attitude de Google. « Ce
qui est bon pour Google n'est pas toujours bon pour les clients. Nous appelons Google à faire de
la protection des clients notre objectif commun et principal », a déclaré Chris Betz, directeur du
pôle sécurité de Microsoft. « Leur décision semble moins reposer sur des principes et davantage
sur un Gotcha (un piège, une vengeance), et ce sont les clients qui en souffrent par la suite. »
Si Redmond n'a toujours pas livré de correctif, peut-être sera-t-il diffusé dès aujourd'hui par
l'intermédiaire du Tuesday Patch ?

Article original du 5 janvier 2015 - 17h00 :

Lorsqu'une faille est détectée au sein de Windows, elle est généralement comblée assez rapidement
par Microsoft. Sauf que cette fois, Redmond n'a pas eu le temps de résoudre une vulnérabilité
découverte par Google concernant Windows 8.1 qui n'avait pas été dévoilée jusqu'alors. Manque
de chance pour Microsoft, Google a suivi à la lettre sa propre politique, qui consiste à révéler au
grand public les failles de sécurité 90 jours après leur découverte. La faille se retrouve au vu et
au su de tout le monde, et peut être exploitée par n'importe quel hacker en herbe.

En théorie, la vulnérabilité mise en avant par Google et son programme Project Zero a de quoi être
alarmante. La faille concerne en fait le module NtApphelpCacheControl et accorde une élévation
des privilèges à quiconque en tire profit. Elle contourne l'UAC et permet en théorie à un malware
de s'exécuter le plus tranquillement du monde en mode administrateur. En pratique, pour exploiter
cette vulnérabilité, il faut que le hacker ait accès en local à la machine et puisse s'identifier. En
clair, à moins d'avoir un collègue ou un proche qui souhaite s'accaparer les données de votre machine
et qui connaisse vos informations d'identification, il n'y a aucune chance que la faille soit exploitée
massivement. Reste à savoir si Microsoft n'a pas été un long à se pencher sur le problème et si les
développeurs de Windows auraient pu livrer un correctif plus rapidement. Certains, comme l'éditeur
d'antivirus Sophos, estiment que la durée de 90 jours imposée par Google était insuffisante pour
Microsoft, qui devait à la fois combler une telle vulnérabilité et surtout tester convenablement un
patch. À qui la faute, donc ?

Microsoft a néanmoins révélé être conscient de cette faille de sécurité et a promis de la combler
rapidement. En toute logique, le problème devrait être réglé avec le déploiement du prochain Patch
Tuesday, qui est prévu pour le 13 janvier 2015. En attendant, mieux vaut toujours se prémunir de
toute tentative d'intrusion dans son PC à l'aide d'une solution de sécurité complète et de changer
régulièrement son mot de passe de connexion.