L’équipe de recherche de bugs Project Zero de Google a trouvé une faille dans Windows 10 S, dévoilant publiquement le problème malgré le souhait de Microsoft de le garder secret jusqu’à ce que la firme le corrige.
Si vous l’ignorez, l’équipe Project Zero recherche des failles dans les logiciels, soit au compte de Google, soit pour d’autres sociétés. Et si elle en trouve un, l’équipe alerte généralement les développeurs du logiciel incriminé en privé, en leur donnant 90 jours avant de le rendre public.
Non seulement la découverte de la faille est assez embarrassante pour Microsoft, mais elle affecte principalement Windows 10 S, une version du système d’exploitation conçue pour être plus verrouillée et sécurisée que les autres versions en autorisant uniquement les applications du Microsoft Store à être installées.
Selon le Projet Zéro, la faille cible les utilisateurs ayant les modes UMCI et Device Guard activés – ce que Windows 10 S a par défaut. Cela permet d’exécuter du code arbitraire, ce dont Windows 10 S devait justement empêcher.
Une fenêtre de 90 jours
Puisque cela concerne qu’une minorité de PC, et que les hackers auraient besoin d’accéder physiquement au PC, Project Zero estime que cette une faille de sécurité est « moyenne », et a donné à Microsoft l’habituel délai de grâce de 90 jours pour résoudre le problème avant qu’il ne soit rendu public.bCependant, comme le rapporte Neowin, Google a alerté Microsoft le 19 janvier, et du fait que Microsoft n’a pas pu émettre ce correctif après ces 90 jours, Microsoft a demandé une extension de 14 jours.
Cependant, Google a refusé cette demande, et apparemment Microsoft a de nouveau demandé une extension de la date limite afin qu’elle puisse être incluse dans la mise à jour de Redstone 4. Cependant, du au fait que cette mise à jour est retardée sans une nouvelle date gravée dans le marbre, Google a de nouveau refusé l’extension, et a maintenant rendu la faille public.
C’est un peu embarrassant pour Microsoft, et l’on peut comprendre pourquoi elle était désireuse d’éviter que la faille ne soit rendue publique. On peut espérer que cela va accélérer les choses.
