Travis Ormandy, chercheur en sécurité pour Google, a récemment publié les détails d'une faille "zero-day" concernant le système Windows : en attendant une mise à jour corrective, quels sont les risques ?

A l'heure actuelle, Windows (toutes versions confondues) reste le système d'exploitation le plus utilisé à travers le monde, devant Mac OS X ou les différentes distributions GNU/Linux. Par conséquent, dès qu'une faille logicielle est découverte et publiée, elle représente un risque de sécurité important pour des millions de particuliers, d'entreprises et d'institutions. C'est justement le cas ces jours-ci : Travis Ormandy, chercheur en sécurité chez Google, a récemment mis le doigt sur une faille zero-day (c'est quoi une faille zero-day ?) dans le système Windows…

L'usage veut qu'une telle découverte doit rester discrète, pour éviter que des cybercriminels utilisent cette faille dans un logiciel malveillant (appelé "exploit") : le découvreur doit alors informer secrètement l'éditeur du logiciel concerné (en l'occurrence Microsoft), pour que celui-ci ait le temps de développer un patch correctif et de le diffuser dans le cadre d'une mise à jour. Cette procédure basée sur la discrétion est appelée "Responsable Disclosure" (littéralement "divulgation responsable"). Mais Travis Ormandy n'est pas un adepte de ce type de procédure : il a livré les moindres détails de sa découverte dans une liste de diffusion !

Mais il a ensuite poussé le vice encore plus loin : le chercheur a réussi à développer un programme exploitant cette faille, dans le cadre du concours "progrmboy", avant de publier le code de ce programme dans la même liste de diffusion utilisée précédemment ! Bien évidemment, Microsoft est particulièrement embarrassé par ce manque de tact et de diplomatie… L'éditeur doit en effet désormais se dépêcher de colmater la faille, pour éviter qu'elle ne soit exploitée dans des logiciels malveillants. Sans donner plus de détails, ou de précisions sur les délais, Microsoft assure qu'il va prendre des "mesures appropriées" pour protéger ses clients.

A quels risques les utilisateurs Windows sont-ils exposés ?

La faille découverte par Travis Ormandy permettrait d'accéder illégitimement à tous les privilèges sur un ordinateur Windows, et d'exécuter n'importe quelle commande. Concrètement, cela signifie que, même si vous utilisez de façon séparée un compte Utilisateur et un compte Administrateur, un pirate exploitant la faille sera capable d'obtenir les droits d'administration en s'infiltrant sur un compte de simple utilisation, par le biais d'un logiciel malveillant par exemple.

Pour rappel :

• Un compte Administrateur : permet d'installer des logiciels et de modifier le système en profondeur.
• Un compte Utilisateur : permet d'utiliser normalement un ordinateur au quotidien (navigation Internet, création de documents, gravure de CD/DVD, etc.)

Les bonnes pratiques de sécurité veulent que l'on dispose d'un compte Utilisateur (par définition limité) pour les usages basiques (cf. ci-dessus), et que l'on bascule sur le compte Administrateur dès que l'on souhaite modifier le cœur du système (ex : installation d'un logiciel). Ces bonnes pratiques sont (temporairement) mises à mal avec la découverte de cette faille.

Comment se protéger au mieux ?

Même si cette faille remet en question l'efficacité de la séparation des comptes Administrateur / Utilisateur, ce n'est que temporaire : il est donc conseillé de continuer à procéder ainsi. Parallèlement, il faudra installer la mise à jour Windows dès qu'elle sera proposée. Par défaut, les mises à jours Windows sont proposées automatiquement (via une info-bulle en bas à droite de l'écran, près de l'heure), à moins que vous ayez volontairement désactivé les mises à jour automatiques (Panneau de configuration < Système et Sécurité < Windows Update).

Aucune date de sortie n'est encore annoncée pour cette mise à jour. En attendant sa disponibilité, restez donc vigilants, et évitez toute installation de logiciel suspect ou inconnu, ainsi que toute fréquentation de sites hasardeux, qui installent parfois à notre insu des logiciels malveillants (appelés Drive-by-download).

Ce n'est pas la première fois que Travis Ormandy agace singulièrement Microsoft : en 2010 déjà, il avait découvert une faille Windows, qu'il avait directement publiée sur le web. Même si cela peut présenter un risque pour les utilisateurs (notamment si l'éditeur concerné tarde à diffuser la mise à jour nécessaire), le chercheur est le partisan féroce d'une transparence sans faille maximale en matière de failles de sécurité. Peu adepte du "Responsable Disclosure", il reste cohérent avec sa maxime préférée : "Full Disclosure – We believe in it" (littéralement "Divulgation complète et immédiate – Nous y croyons").

 

Source : 01net.com
Image : Flickr / Daniel Rubio / CC BY-NC-ND 2.0

Ce contenu vous a intéressé ? Partagez-le !

• Tweet