Windows 10 : une vulnérabilité zero-day permet de prendre le contrôle de votre ordinateur

Vulnerabilité Zero-day
(Crédit photo: Shutterstock.com)

Une vulnérabilité de type « zero-day » (c’est-à-dire sans historique connu) affecte actuellement chaque version du système d'exploitation Windows, de Windows 7 à Windows 10. La faille de sécurité réside dans le pilote de cryptographie (cng.sys) et permet à n’importe quel hacker l’exploitant de prendre le contrôle de l'ordinateur de sa victime – en s’attribuant des droits administrateur.

Cette nouvelle vulnérabilité vient d’être découverte par les experts en cybersécurité de l’équipe Google Project Zero. Celle-ci a laissé sept jours à Microsoft pour venir à bout du bug. Une tâche qui s’est avérée hors de portée de la firme de Redmond, dès lors Google a révélé publiquement ladite anomalie, avec des éléments supplémentaires sur les menaces qui pouvaient en découler.

Bien que les ramifications de la faille de sécurité semblent effrayantes mais limitées, Microsoft recommande la prudence pour le moment. L’éditeur a affirmé qu’aucune preuve d’exploits généralisés à partir de cette faiblesse n’existe à ce jour. De même, rien n'indique non plus que quelques cybercriminels utilisent - aujourd’hui particulièrement - cet exploit pour cibler les élections présidentielles américaines.

Un patch arrive

L'une des raisons pour lesquelles Microsoft reste si calme concernant la vulnérabilité (intitulée CVE-2020-17087) est que cette dernière nécessite une autre vulnérabilité, CVE-2020-15999, pour pouvoir l’exploiter. Or, cette faille de sécurité antérieure, reposant sur les navigateurs web, a déjà été corrigée. Aussi, si l’ensemble de vos navigateurs web sont à jour, vous devriez être protégé.

Microsoft n'a pas donné de date de déploiement pour le prochain correctif qui viendra à bout de CVE-2020-17087. Toutefois, il ne serait pas surprenant qu'il soit intégré au Patch Tuesday attendu le 10 novembre. Un porte-parole de Microsoft a déclaré à Forbes que « le développement d'une mise à jour de sécurité est un équilibre entre la rapidité et la qualité ». Ce qui explique pourquoi la date limite de Project Zero n'a pas été respectée. 

Tout exploit de type « zero-day » est naturellement une source d'inquiétude, cependant Microsoft a probablement raison de ne pas trop paniquer sur ce point. Tant que les utilisateurs de Windows s'assureront que leurs navigateurs demeurent à jour, ils devraient être en sécurité jusqu'à l'arrivée du correctif.

Via Forbes

Barclay Ballard

Barclay has been writing about technology for a decade, starting out as a freelancer with ITProPortal covering everything from London’s start-up scene to comparisons of the best cloud storage services.  After that, he spent some time as the managing editor of an online outlet focusing on cloud computing, furthering his interest in virtualization, Big Data, and the Internet of Things.