Une vulnérabilité de type « zero-day » (c’est-à-dire sans historique connu) affecte actuellement chaque version du système d'exploitation Windows, de Windows 7 à Windows 10. La faille de sécurité réside dans le pilote de cryptographie (cng.sys) et permet à n’importe quel hacker l’exploitant de prendre le contrôle de l'ordinateur de sa victime – en s’attribuant des droits administrateur.
Cette nouvelle vulnérabilité vient d’être découverte par les experts en cybersécurité de l’équipe Google Project Zero. Celle-ci a laissé sept jours à Microsoft pour venir à bout du bug. Une tâche qui s’est avérée hors de portée de la firme de Redmond, dès lors Google a révélé publiquement ladite anomalie, avec des éléments supplémentaires sur les menaces qui pouvaient en découler.
- Comment rendre Windows 10 plus rapide - et votre PC avec lui ?
- Comment arrêter une mise à jour Windows 10 ?
- Comment lancer vos vieux jeux PC sous Windows 10 ?
Bien que les ramifications de la faille de sécurité semblent effrayantes mais limitées, Microsoft recommande la prudence pour le moment. L’éditeur a affirmé qu’aucune preuve d’exploits généralisés à partir de cette faiblesse n’existe à ce jour. De même, rien n'indique non plus que quelques cybercriminels utilisent - aujourd’hui particulièrement - cet exploit pour cibler les élections présidentielles américaines.
Un patch arrive
L'une des raisons pour lesquelles Microsoft reste si calme concernant la vulnérabilité (intitulée CVE-2020-17087) est que cette dernière nécessite une autre vulnérabilité, CVE-2020-15999, pour pouvoir l’exploiter. Or, cette faille de sécurité antérieure, reposant sur les navigateurs web, a déjà été corrigée. Aussi, si l’ensemble de vos navigateurs web sont à jour, vous devriez être protégé.
Microsoft n'a pas donné de date de déploiement pour le prochain correctif qui viendra à bout de CVE-2020-17087. Toutefois, il ne serait pas surprenant qu'il soit intégré au Patch Tuesday attendu le 10 novembre. Un porte-parole de Microsoft a déclaré à Forbes que « le développement d'une mise à jour de sécurité est un équilibre entre la rapidité et la qualité ». Ce qui explique pourquoi la date limite de Project Zero n'a pas été respectée.
Tout exploit de type « zero-day » est naturellement une source d'inquiétude, cependant Microsoft a probablement raison de ne pas trop paniquer sur ce point. Tant que les utilisateurs de Windows s'assureront que leurs navigateurs demeurent à jour, ils devraient être en sécurité jusqu'à l'arrivée du correctif.
Via Forbes (s'ouvre dans un nouvel onglet)