A peine sortie, la nouvelle version de Windows 8 est déjà victime d’une faille de type zero day, découverte par une société française.

C’est par Twitter que l’annonce est tombée la semaine dernière. Windows 8 n’est plus sûr, victime de sa première faille « 0 day ». La société de sécurité française Vupen, spécialisée dans la découverte de failles et leur monétisation auprès de ses clients, dont des agences gouvernementales, a donc tenu parole.

Cadeau de bienvenue

Le 30 octobre 2012, un des responsables de Vupen, Chaouki Bekrar tweetait : « Nous accueillons Windows 8 avec diverses failles 0days ». Il y a environ quinze jours, sur Twitter toujours, il déclarait qu’il annoncerait sa première faille le jour de la sortie de Windows 8. Il lui a fallu, en définitive, quelques jours de plus.
A en croire ces experts, la faille permettrait de prendre le contrôle d’une machine sous Windows 8 utilisant Internet Explorer 10. Ce qui représente un bel exploit puisque Microsoft a beaucoup communiqué sur le renforcement de la sécurité de son nouvel OS, notamment en évinçant le BIOS en faveur de l’UEFI, afin de « verrouiller » le boot.

Protection et offensive

Selon Forbes, les moyens de se protéger (et peut-être de profiter) de cette faille seront accessibles aux clients de l’entreprise française, via son Threat Protection Program. Chaouki Bekrar déclarait ainsi au journal américain : « Les détails techniques précis sur ces failles seront partagés avec nos clients. Ils pourront ainsi les utiliser pour protéger leurs infrastructures critiques contre les attaques potentielles ou à des fins de sécurité nationale. »
Par ailleurs, si les clients de Vupen peuvent se servir de la connaissance de ces failles pour s’en prémunir, les découvertes de la société de sécurité peuvent également être utilisées à des fins offensives. Pour attaquer des PC à espionner par exemple…