Oups ! Encore une faille de sécurité sur Windows

Windows a essuyé pas mal de problèmes au cours de l’année 2020, car plusieurs failles ont été découvertes dans le système d’exploitation. En janvier, il y a eu le bug cryptographique sur Windows 10, même si Microsoft a déclaré que les hackers n’ont pas eu le temps de l’exploiter. Cependant, des alertes plus critiques ont été signalées par la NSA en juin et en septembre.

Une équipe d’experts en sécurité informatique employée par Google, nommée Project Zero, vient de révéler l’existence d’une vulnérabilité détectée sur Windows 7 et 10. Celle-ci pourrait permettre à un utilisateur local normal de passer en mode administrateur, puis outrepasser la Sandbox de Chrome et installer des malwares. Les informaticiens ayant découvert la faille soutiennent que des pirates s’en sont déjà servis.

Une femme se tenant le visage dans les mains

Photo de Anthony Tran – Unsplash

La firme de Redmond veut rassurer ses clients en déclarant que l’attaque était « de nature très limitée […] », et qu’il n’y avait pas eu d’« utilisation généralisée ».

Un bug désigné sous le nom CVE-2020-17087

Le Project Zero, désignant la faille sous l’appellation CVE-2020-17087, révèle que celle-ci a été utilisée avec un autre bug, CVE-2020-15999, qui n’a été corrigé que la semaine dernière. Le communiqué fait par Microsoft à ce sujet s’engage à « enquêter sur les problèmes de sécurité signalés, et à mettre à jour les appareils concernés pour protéger les clients. »

Comme la faille existe depuis l’apparition de Windows 7, on peut dire que le fournisseur de logiciel d’exploitation a eu de la chance que les hackers n’ont pas encore fait d’énormes dégâts. Ben Hawkes, le responsable technique des chercheurs de Google, met un lien sur son compte Twitter le 30 octobre, menant vers les conclusions de l’équipe de spécialiste.

Windows doit trouver une solution rapidement

Certains observateurs se sont inquiétés d’un possible impact sur les élections présidentielles américaines. Cependant, Shane Huntley, le directeur du renseignement sur les menaces de Google balaie tout soupçon à ce sujet, en qualifiant les agressions de « ciblées ». Cependant, aucun indice concret ne permet de deviner l’identité et la motivation des Hackers.

L’entreprise fondée par Bill Gates n’a pas précisé directement la date de sortie du correctif correspondant au bug, mais Hawkes annonce la probabilité d’un patch pour le 10 novembre. Microsoft précise que pour trouver une solution efficace, il faut absolument garder « un équilibre entre la rapidité et la qualité ». L’entreprise espère également « une perturbation minimale des clients ».