Dans sa grande bonté, Microsoft déploie maintes mises à jour de sécurité pour combler les failles de ses propres services ou rattraper, le cas échéant, les boulettes de ses partenaires. Mais alors que les failles informatiques font la une de l’actualité – notamment au travers des désormais célèbres Spectre et Meltdown – voilà que l’on apprend aujourd’hui d’un chercheur en sécurité allemand, que la firme de Redmond a fait preuve de grande négligence quant à la diffusion de ses patchs.
Günther Born, c’est son nom, a en effet décortiqué les liens que Microsoft propose lorsqu’il s’agit de télécharger et d’installer manuellement des mises à jour, et a noté que ces derniers ne profitaient pas du label HTTPS. Pour rappel, il s’agit d’une mention indiquant la présence d’un protocole de transfert hypertexte, sécurisé par chiffrement.
En lieu et place de l’HTTPS, le géant américain se contente d’un simple protocole HTTP non sécurisé. De quoi simplifier la tache de potentiels pirates, puisqu’en l’occurrence, les updates de l’éditeur sont accessibles sur le web de manière “open bar”, sans aucune protection, puisque dépourvue d’un quelconque système de chiffrement.
Microsoft au courant depuis des âges…
Mais le plus inquiétant reste encore à venir. Ce qui aurait pu être un simple manque de vigilance – sur le court terme – de la part du géant américain, semble en réalité relever d’une négligence de longue, voire très longue, date.
On apprend en effet du site ComputerWorld, que Stefan Kanthak (un autre expert en sécurité) a contacté Microsoft à maintes reprises au sujet de cet étonnant manque de déontologie, sans que la firme ne donne véritablement suite à ces échanges.
Dans un rapport l’intéressé explique notamment : “Même si vous naviguez sur le catalogue des mises à jour de Microsoft au travers d’une adresse HTTPS, TOUS les liens de téléchargement publiés [sur le service] usent du protocole HTTP et non HTTPS. C’est de l’informatique fiable… façon Microsoft“. Ce à quoi il ajoute : “En dépit de nombreux mails envoyés à <[email protected]> au cours des dernières années, et de nombreuses réponses type ‘nous faisons suivre aux équipes compétentes’, rien n’a jamais été fait“.
De son côté, Günther Born parle de “sécurité par obscurité“, mais maintenant que les négligences de la firme de Redmond sont exposées en pleine lumière, c’est un système défaillant jusqu’à la moelle que Microsoft va devoir remettre au cordeau… et avec diligence.