S’agit-il d’un bug ou d’une fonctionnalité au niveau du navigateur Microsoft Edge ?
À l’heure actuelle, la réponse à cette question fait toujours l’objet d’un débat entre les chercheurs de Cisco Talos et le géant du logiciel.
Selon Nicolai Grødum de Cisco Talos, il s’agit sans hésiter d’un bug au niveau de la Content Security Policy (CSP) du navigateur Microsoft Edge :
Une page web spécialement créée peut permettre de bypasser la content security policy, ayant comme résultat une fuite de données. Un cybercriminel peut créer une page web malveillante pour activer cette vulnérabilité.
Il a inclus des détails techniques sur la façon d’éviter ce bypass de la CSP. Il a déclaré que les cybercriminels pouvaient créer une divulgation de données au niveau du navigateur Microsoft Edge en modifiant l’en-tête de la CSP avec la directive “unsafe-inline”, afin d’autoriser un code de script “inline”.
Et pour appuyer davantage son analyse, Grødum a noté qu’un défaut similaire existait dans les versions antérieures de Safari Apple et de Google Chrome, que les deux entreprises ont depuis corrigé.
Grødum, qui a rendu public la vulnérabilité la semaine dernière, a joint un timing qui montrait qu’il avait informé Microsoft le 28 novembre de l’année dernière. Curieusement, on lui a répondu en mars dernier que l’”éditeur considérait ce défaut comme un élément de conception et pas comme une vulnérabilité”. Il a demandé à l’entreprise de réexaminer le cas en question, et a écrit le 7 juin que Microsoft avait ré-ouvert ce dossier. Mais après plus de deux mois sans aucune réponse, il l’a rendu public.
Aujourd’hui, il n’existe toujours pas de réponse officielle de la part de Microsoft (mais au moins nous avons essayé). Ainsi, la situation ne risque pas d’évoluer. Le bug ou la fonctionnalité continuera d’exister, du moins jusqu’à ce que la prochaine version de la CSP ne sorte. CSP2 est le standard actuel, tandis que CSP3 est encore à l’état de test.
Mais une partie du raisonnement de l’entreprise provenait d’une source identifiée comme “un intermédiaire”, et qui a déclaré :
Ce comportement était indéfini au sein de CSP2, et qui pourtant avait été utilisée par les navigateurs modernes du secteur.
La gravité du problème est faible dans la mesure où il faut un modificateur au niveau de la CSP pour l’assouplir. Pour y remédier, certains ont mis en place la CSP3 en cours de développement.
Étant donné la faible gravité et l’état de test de la CSP3, nous allons envisager de mettre en œuvre la CSP3 lorsqu’elle sera définitive.
Selon “l’intermédiaire”, il n’existe aucune information sur le moment où la CSP3 sera finalisée.
Microsoft a publié une déclaration au début de l’année en annonçant son soutien à la CSP2, en l’appelant “une nouvelle étape dans notre engagement continu à faire de Microsoft Edge le navigateur le plus sécurisé et le plus fiable pour nos clients. CSP2, lorsqu’elle est utilisée correctement, est un mécanisme de défense efficace et puissant contre cross site scripting et les attaques par injection de contenu”.
Tout cela ressemble à un nouveau débat sur les normes de conformité. D’un côté, certains estiment que si les entreprises ont respecté à la lettre la loi au sein de leur norme, alors ils ont pris toute la mesure de leurs responsabilités pour sécuriser leurs produits. Dans ce cas présent, Microsoft a déclaré que la vulnérabilité que Cisco Talos a décrit est “indéfinie” dans la norme actuelle.
Mais ce comportement est dénoncé par les observateurs depuis des décennies, s’élevant contre cette mentalité cybersécurité de type “case-à-cocher”. Leur argument est que “la conformité n’est pas la sécurité”, et qu’un niveau minimum de sécurité exigé devient vite un niveau maximum.
Le conflit autour de la gravité de cette vulnérabilité Edge n’est pas le seul visant Microsoft la semaine dernière. L’entreprise de sécurité enSilo a indiqué qu’elle avait trouvé un bug au niveau du noyau, qui semble affecter les versions de Windows remontant à 17 ans en arrière, de Windows 2000 à Windows 10.
Ils ont déclaré que la vulnérabilité affecte PsSetLoadImageNotifyRoutine
, une fonction qui doit notifier les pilotes enregistrés dans différentes parties du noyau lorsqu’un fichier image PE a été chargé. Mais, selon eux, “après avoir enregistré une routine de notification pour les images PE chargées au niveau du noyau, le rappel peut recevoir des noms d’image non valides”.
La réponse de Microsoft ? Dark Reading a cité un porte-parole qui déclarait :
Nos ingénieurs ont passé en revue ces informations et ont déterminé que ce problème ne représentait pas une menace pour la sécurité, et nous ne prévoyons donc pas de le traiter lors des mises à jour de sécurité à venir.
Billet inspiré de When is a bug not a bug? When Microsoft says ‘it’s a feature’, sur Sophos nakedsecurity.