Where them bugs at : Project Zero s’inquiète des failles laissées béantes dans Windows 7 et 8.1

Windows 10 est-il le chouchou de Microsoft ? Cela pourrait se comprendre : Microsoft continue d’assurer le support des autres versions de Windows 7 et 8.1, mais cela ne surprendra personne si Microsoft met le plus gros de ses efforts dans l’amélioration de Windows 10. Le favoritisme pourrait néanmoins offrir un avantage aux cybercriminels qui cherchent à identifier des failles dans les versions 7 et 8.1 de Windows, selon le chercheur Mateusz Jurczyk, qui travaille pour l’équipe Project Zero de Google.

 


Dans un post de blog, il revient en détail sur la technique dite du « binary diffing ». Celle-ci consiste à comparer le binaire de deux versions d’un même logiciel afin de retrouver la faille corrigée par un patch de sécurité en vue de l’exploiter. Cette technique permet de s’attaquer aux utilisateurs qui mettent du temps à déployer les patchs de sécurité diffusés par l’éditeur. Mais dans le cas de Windows, celle-ci peut se révéler bien plus efficace encore.

Windows 7, 8.1 et 10 partagent en effet une large partie du même code source. Mais si Microsoft corrige assez rapidement les failles de sécurité sur la dernière version de son OS, les patchs de sécurité pour des failles similaires tardent souvent à venir sur les versions précédentes de Windows. Comme le démontre Mateusz Jurczyk dans son article, c’est cette technique qui a permis à l’équipe de Google Zero de repérer une faille corrigée dans Windows 10, mais encore présente et exploitable dans les versions 7 et 8.1 de l’OS.

Quand on sait la part de marché que représente encore aujourd’hui Windows 7, qui reste très présente dans le monde de l’entreprise, on comprend que les négligences de Microsoft pourraient coûter cher. « La technique du « binary diffing » présentée ici n’est pas complexe et ne requiert pas un niveau technique particulièrement avancé ou une connaissance approfondie des fonctionnements du système. Elle aurait parfaitement pu être utilisée par des cybercriminels afin d’identifier les trois failles mentionnées dans le corps de l’article » écrit le chercheur.


Ces failles ont depuis été corrigées par Microsoft dans son patch de septembre. Mais celles-ci ont été découvertes grâce aux patchs de Microsoft sur la version de Windows 10. Le chercheur encourage donc Microsoft à déployer des patchs sur l’ensemble des versions de Windows, afin de ne pas pénaliser la sécurité des versions précédentes de l’OS.

ZDNet