Normalement ça ne se fait pas… Lorsqu'un chercheur en sécurité découvre une faille dans un logiciel, il en fait part à l'éditeur. Tavis Ormandy, ingénieur chez Google, est passé outre cette règle en publiant sur seclists.org tous les détails techniques, code désassemblé et commentaires, d'une faille qu'il a découverte et qui touche au moins Windows 7 et Windows 8.
Cette faille permet d'obtenir une élévation de privilège ou de mettre le système en situation de déni de service, mais nécessite un accès physique à la machine. Une faille qui est difficile à exploiter selon Tavis.
Pourquoi Tavis a-t-il ainsi publié les détails de cette faille ? Selon lui, il est souvent difficile de travailler avec Redmond. Toujours selon lui, les chercheurs devraient rapporter les failles découvertes de manières anonymes, pour éviter d'être traités avec hostilité.
Un avis que tout le monde ne partage pas. Ainsi Graham Cluley de chez Sophos, exprime l'avis sur The Verge que “L'équipe de sécurité de Microsoft fait un excellent travail” et que “les chercheurs en sécurité devraient travailler étroitement avec Microsoft afin de corriger les problèmes de manière responsable, plutôt que de prendre le risque de favoriser l'activité des hackers mal intentionnés“.
Ceci étant, les informations publiées par Tavis sont intéressantes d'un point de vue strictement technique 🙂