« Un agent secret ne se cache jamais deux fois au même endroit », disait un célèbre détective fictif. Certes, mais visiblement, il se cache, avec une prédilection certaine, dans les logiciels de Microsoft.
Les talents intrépides de Microsoft ont réussi à patcher deux vulnérabilités avec zéro préparation, un exploit digne de James Bond. Et non, malheureusement, nous ne parlons pas d’une nouvelle fonctionnalité pour Skype, Teams ou Edge.
Fouinant dans deux bibliothèques open source populaires, à savoir webp et libvpx, des chercheurs chez Google et Citizen Lab ont découvert ces deux terribles bogues qui, paraît-il, ont été exploités pour s’en prendre aux utilisateurs avec du logiciel espion. Un véritable film de science-fiction en direct de la Silicon Valley.
« Le monde de la technologie était en émoi face à ces bibliothèques vulnérables. »
Et là, scène de panique. La découverte de ces failles a déclenché une course à la mise à jour chez les entreprises tech, fabricants de smartphones et développeurs d’applications. Rassurez-vous, pas de bandeau rouge clignotant type James Bond dans cette chasse à la faille, mais sûrement beaucoup de café et de pizzas. Les héros de l’ombre triment, et c’est pour notre sécurité à tous !
Supra sympathique, Microsoft (dans une brève déclaration publiée un beau lundi) a reconnu l’existence de ces exploits tout en fournissant des correctifs pour ces deux vilaines failles nichées dans leurs produits. Si avec ça on leur reproche encore de ne pas être proactifs !
Mais attention, il y a un twist digne de M. Night Shyamalan. Les produits de Microsoft ont-ils été victimes de ces exploits en plein jour ? La compagnie ne nous le dit pas. Ça en rajoute un peu au suspense, non ?
Mais comme toute bonne parodie de James Bond, l’histoire compte plusieurs acteurs. Apple pour commencer, qui a dû affronter cette attaque à zéro clic. Le vilain libvpx niché dans les produits Apple a été exploité sans que l’utilisateur ne fasse quoi que ce soit. Puis est venu Google : le navigateur Chrome et d’autres produits ont également dû faire face à cette vilaine faille.
Un espion dans la machine : Microsoft, Google, Apple… Qui sera le prochain sur la liste ?
Software Vulnerability
Source : Techcrunch