Google a encore sévi, et l’a fait – une fois n’est pas coutume – aux dépens de Microsoft. Les experts en sécurité de la firme de Mountain View ont en effet découvert une faille dans Edge, le navigateur de celle de Redmond, en novembre dernier et viennent de la dévoiler publiquement. Autant dire que ce n’est pas la mansuétude qui a étouffé Google, qui s’en est remis à son habituelle règle de divulgation des failles de sécurité – et l’a appliqué à la lettre.
90 jours ont donc été donnés à Microsoft, à partir de la découverte de cette faille, pour que ses développeurs mettent au point un patch. Un compte à rebours qui s’est vu ajouté 14 journées supplémentaires. Face à l’apparente complexité de la tâche, Microsoft n’a toutefois pas été en mesure de tenir la cadence… et Google a fini par jouer les cafteurs.
Jugée d’une sévérité “modérée”, la faille découverte ne devait – selon Google – pas être trop difficile à colmater. Ce n’est toutefois pas l’avis de Microsoft, qui a notamment indiqué que l’élaboration de ce correctif s’avérait “plus compliquée qu’initialement prévu“. Ce qui n’a pas empêché Google d’exhiber cette faille de sécurité, en indiquant que son concurrent n’avait “pas encore fixé de date” de déploiement pour un patch.
Les rivalités entre Google et Microsoft ravivées ?
La vraie question serait plutôt de savoir si les relations entre les deux firmes ont un jour été véritablement paisibles. Comme le rappelle The Verge, Microsoft et Google entretiennent des rapports juste cordiaux depuis plus de 10 ans. Une apparente cordialité régulièrement entachée par des échanges musclés au sujet de la politique à mettre en oeuvre en ce qui concerne les failles de sécurité et leur divulgation.
Si Microsoft semble prôner l’indulgence et préfère visiblement laisser le temps au temps, Google estime bien pour sa part qu’il est de bon ton d’arracher le pansement d’un coup d’un seul. Deux visions de la chose assez divergentes, qui se trouvent au cœur de querelles régulières.
En octobre dernier, Microsoft avait pu rendre la monnaie de sa pièce à Google en dévoilant une faille dans Chrome, mais après avoir laissé le temps à son rival de la corriger. A cette occasion, la firme de Redmond avait d’ailleurs déclaré “Nos stratégies peuvent différer, mais nous croyons en la collaboration des acteurs de l’industrie de la sécurité afin d’aider à protéger les clients“.
Il n’empêche que dans certains cas, Google sait faire exception à sa propre règle des 90 jours. C’est ainsi que près de 6 mois ont été accordés à Intel (mais aussi à AMD et à d’autres fondeurs) pour tenter de combler les failles Spectre et Meltdown. Une période qui s’est toutefois avérée insuffisante, puisqu’aux dernières nouvelles, Intel n’a pas encore été en mesure de déployer un correctif efficace et surtout applicable à l’ensemble de ses CPUs.