
Correction des vulnérabilités : Microsoft pointé du doigt
Articles du même auteur :
2
3
4
Un chercheur en cybersécurité accuse l’éditeur de tarder à apporter des réponses dans la résolution des failles qu’on lui signale.
Amit Yoran, président de Tenable, société de cybersécurité, a critiqué le 2 août 2023 la politique de correction des vulnérabilités de Microsoft, la jugeant trop laxiste. Le sénateur américain Ron Wyden a également alerté fin juillet 2023 les autorités américaines sur les « pratiques négligentes en matière de cybersécurité » de Microsoft. Selon le Google Project Zero, 42,5 % des failles zero day découvertes depuis 2014 proviennent de produits Microsoft.
En mars 2023, un chercheur de Tenable a découvert une faille critique dans Microsoft Azure, permettant à un attaquant de voler des données sensibles, dont des identifiants de sécurité. Les chercheurs de Tenable se sont même connectés au compte Azure d’une banque. Microsoft a été averti immédiatement.
Selon Amit Yoran, Microsoft a mis 90 jours pour proposer un correctif partiel pour les nouveaux utilisateurs seulement. Tous les anciens utilisateurs, y compris la banque, restent vulnérables quatre mois après le signalement. De plus, ces utilisateurs « ne savent toujours pas qu’ils sont exposés à un risque et ne peuvent donc pas prendre de décision éclairée sur les mesures de contrôle et d’atténuation des risques », explique le chercheur.
Microsoft a répondu que son processus de correction était « rigoureux » et donc parfois long : il nécessite une enquête approfondie, le développement de mises à jour pour toutes les versions du logiciel et des tests de compatibilité sur tous les systèmes d’exploitation. « Développer une mise à jour de sécurité est un équilibre délicat entre rapidité et qualité, tout en garantissant une protection maximale et une perturbation minimale », conclut l’éditeur.