Vulnérabilité dans IE : en désaccord avec Microsoft, HP balance

C’était début février dernier : HP annonçait alors que l’une de ses équipes de chercheurs en sécurité avait été récompensée par Microsoft pour la découverte d’une vulnérabilité dans Internet Explorer. Celle-ci permet de contourner les mécanismes de répartition aléatoire de la mémoire allouée (ASLR). Pour cette vulnérabilité, l’éditeur a versé 125 000 $ aux trois chercheurs.

A l’époque, HP précisait accorder 120 jours à Microsoft avant de dévoiler publiquement les détails de la vulnérabilité. Le délai ayant aujourd’hui expiré, l’équipe de chercheurs vient de publier ces détails. Et cela après avoir reçu confirmation de Microsoft qu’il ne corrigerait pas la vulnérabilité en question.

Dans un billet de blog, Dustin Childs, développeur sénior de contenus sécurité pour HP – et anciennement évangéliste technique sénior de Microsoft pour la Cybersécurité ; il a œuvré 6 ans pour l’éditeur de Redmond – explique : « dévoiler les détails sur un bug non corrigé n’est pas quelque chose que nous faisons normalement, ni que nous prenons à la légère ».

Pas question non plus de « malice » là, mais un désaccord marqué : « Microsoft estime que ces problèmes n’affectent pas la configuration par défaut d’Internet Explorer (et donc pas un grand nombre de clients), [les corriger] ne vaut pas les ressources ni le risque de régression ». Un point de vue avec lequel HP diverge. De quoi justifier pour les chercheurs de diffuser des prototypes pour Windows 7 et 8.1 alors que les clients de ses IPS TippingPoint sont protégés.