Google a découvert une faille critique provenant de Windows et qui permet aux pirates de récupérer le contrôle total d'une machine à l'insu de son propriétaire. Une faille qui est par ailleurs activement utilisée aujourd'hui ! Après l'avoir transmise à Microsoft en interne, le développeur a décidé de la poster en ligne sur son site, alors que Microsoft ne l'a toujours pas corrigé.

La sécurité sur nos systèmes d'exploitation est souvent bien plus affaire de découvertes fortuites qu'elle n'est de science. Pour pouvoir trouver toutes les failles d'un système, les développeurs font souvent appel à des pirates et des experts en sécurité afin de les trouver pour eux, et les corriger par la suite.

Ces concours de piratage peuvent rapporter gros pour quiconque a le talent mais souhaite l'utiliser pour le bien : récemment, une équipe de jeunes pirates a gagné plus de 100 000 dollars en s'infiltrant dans un Nexus 6P possédant les dernières mises à jour de sécurité.

Et parfois, les entreprises les découvrent entre elles. Ce fut le cas de Google récemment, qui a découvert une faille 0 day critique présente dans de nombreuses versions de Windows. Contenue dans le kernel, elle permet de prendre le contrôle d'un système lointain en passant outre toutes les sécurités mises en place par le développeur.

L'entreprise a bien sûr prévenu l'éditeur de l'OS le 21 octobre. Mais en l'absence de correctif appliqué à temps, Google a décidé de publier sur son blog officiel la faille 7 jours après. Celle-ci est déjà utilisée activement de nos jours, et cette publication pourrait en augmenter l'utilisation.

De quoi forcer Windows à travailler d'arrache-pied à la correction de celle-ci désormais, tandis que Chrome est déjà mis à jour pour bloquer cette faille via le navigateur. Reste que le noyau de Windows est toujours vulnérable : espérons que nous n'ayons pas à attendre la sortie de Windows 10 Creators Update pour qu'elle soit enfin comblée.