En matière de sécurité informatique, la tension est montée d'un cran entre Microsoft et Google. La firme de Redmond a reproché à celle de Mountain View d'avoir diffusé des détails techniques de vulnérabilités affectant Windows avant que des correctifs ne soient disponibles.

De telles divulgations ont eu lieu via le Project Zero dont la politique est de notifier en amont un éditeur concerné. Passé un délai de 90 jours, une divulgation publique (ou full disclosure) a lieu même si le correctif idoine n'est pas disponible.

Google s'est montré inflexible sur ce délai de 90 jours, refusant notamment d'accéder à la demande de Microsoft de retarder de deux jours un full disclosure. Cela aurait permis au Patch Tuesday de janvier d'agir à temps. Pire... Google a récidivé peu de temps après.

Ars Technica a constaté qu'Apple a droit au même traitement que Microsoft. À noter qu'Apple a souvent été pointé du doigt par des experts en sécurité pour sa lenteur à patcher et semblait en avoir tenu cas. Le 20, 21 et 23 octobre 2014, le Project Google a prévenu de manière confidentielle Apple de trois failles de sécurité dans OS X. Celles-ci ont été divulguées après 90 jours, alors que la firme à la pomme n'a pas apporté de correctif.

En poussant les recherches un peu plus loin, nous avons également constaté que sont dans le même cas d'autres vulnérabilités affectant OS X pour lesquelles Apple a été prévenu mi-2014. Hormis pour une au risque faible, le niveau de dangerosité pour les autres est qualifié d'élevé.

Quelques bémols toutefois dans la mesure où les exploitations nécessitent pour des attaquants d'avoir accès à l'ordinateur Mac pris pour cible. À voir maintenant si Apple se montrera aussi énervé que Microsoft par l'attitude de Google.

Interrogé par iTnews, Apple a refusé de se livrer à des commentaires. Un porte-parole a seulement aiguillé vers une page du site d'Apple où l'on peut lire :

" Pour la protection de nos clients, Apple ne divulgue pas, aborde ou confirme des problèmes de sécurité avant une enquête approfondie et tant que des correctifs ou mises à jours ne sont pas disponibles. "

Source : Ars Technica