Un logiciel externe déjà chargé dans votre machine pour vous avant que vous le sortiez de son emballage est plutôt commun ces jours-ci. Mais à quel point ce modèle est-il sécurisé ? Récemment, un chercheur Google a découvert une grosse faille de sécurité dans l’application externe, Keeper, qui est comprise dans certaines des images Windows 10 les plus récentes.
Dans un post de blog, le chercheur Google Tavis Ormandy a décrit la faille qu’il a trouvée dans le gestionnaire de mot de passe Keeper. « Je suppose que c’est un deal de regroupement avec Microsoft. J’ai entendu parler de Keeper, je me souviens avoir classé un bug il y a un moment su comment ils injectaient des UI privilégiés dan des pages ( problème 917 ). J’ai vérifié et, ils font la même chose encore avec cette version. Je pense que je me montre généreux considérant cela comme un problème nouveau qui se qualifie pour une divulgation 90 jours, puisque j’ai littéralement juste changé les sélecteurs et la même attaque arrive. »
Il semble que l’application Keeper a eu une plutôt grosse faille qui permettrait à un site web malveillant de voler vos mots de passe en visitant juste le site. Heureusement, cette faille de sécurité était seulement présente dans la version 11 du logiciel, et vous n’auriez seulement pu en être victime si vous aviez lancé Keeper et commencé à l’utiliser comme votre gestionnaire de mot de passe.
Microsoft, pour sa part, a refusé de commenter sur la situation, à part pour dire, ”Nous sommes conscient du rapport sur cette application externe, et le développeur donne des mises à jour pour protéger les clients.”
Heureusement, Keeper a corrigé la faille de sécurité en moins de 24 heures après que le bug ait été découvert, annonçant la mise à jour du logiciel dans un post sur leur site. “Pour résoudre ce problème, nous avons supprimé le flux“Ajouter à l’existant” et avons fait des pas additionnels pour prévenir de cette vulnérabilité potentielle dans le futur. Bien qu’aucun client n’ait été négativement affecté par cette vulnérabilité potentielle, nous prenons tous les problèmes de sécurité rapportés, vulnérabilités et rapports de bugs au sérieux. La sécurité et la protection des informations et données du client est notre première priorité à Keeper. Du moment où nous avons été notifiés de ce problème, nous l’avons résolu et publié une mise à jour d’extension automatique pour nos clients en 24 heures. »
Bien que ce soit bien de voir le bug réparé si rapidement, cela fait questionner sur les procédures de sécurité de Microsoft et tous ses partenaires de logiciels externes. Nous savons tous que Microsoft fait passer ses logiciels par des tests de sécurité stricts avant de sortir, et même là des failles et bugs de sécurité sont découverts. Mais combien de tests font les compagnies externes et Microsoft demande-t-il même des standards de sécurité ?
Et en fin de compte, si une de ces applications externes qui a été installée pour nous n’est pas sécurisée, ça n’a pas d’importance à quel point Windows est sécurisé avec leur logiciel. Donc devraient-ils forcer ce logiciel sur nous quand ils ne s’assurent même pas qu’il soit sécurisé ?
Qu’en pensez-vous ? Est-ce que Microsoft devrait arrêter d’installer automatiquement son logiciel sur les machines qu’il ne crée pas et est ce que les autres fabricants d’ordinateurs devraient en faire de même ? Donnez nous votre avis dans les commentaires.
Lire la suite:
Meilleur Antivirus pour Windows 10