Home Nouvelles Les experts en cybersécurité critiquent Microsoft pour la gestion des vulnérabilités

Les experts en cybersécurité critiquent Microsoft pour la gestion des vulnérabilités

by Amorette Goddu


Microsoft a été critiqué par plusieurs entreprises de cybersécurité sur la façon dont l’entreprise gère les vulnérabilités de haute gravité.

Selon Tech Radar (à travers de Ars Technica), Orca Security et Tenable affirment que Microsoft est très lent et inadéquat dans la publication de correctifs de sécurité pour les vulnérabilités détectées, dont certaines pourraient être très graves.

Selon le rapport, l’une de ces sociétés a tenté de signaler un problème critique dans Azure Synapse Analytics à Microsoft. Ils l’ont fait début janvier 2022 et Microsoft a publié un correctif de sécurité pour les points de terminaison des utilisateurs le 15 avril. De plus, obtenir de Microsoft qu’il résolve le problème n’a pas été un processus facile, et ils ont eu de nombreuses tentatives infructueuses.

Les entreprises de cybersécurité estiment que Microsoft n’est ni transparent ni rapide pour résoudre les vulnérabilités de haute gravité

Le président et chef de la direction de Tenable, Amit Yoran, a déclaré que Microsoft n’avait pas correctement géré le problème de Synapse. De plus, il estime que l’entreprise souffre d’un « manque de transparence ».

« Toute personne utilisant le service Azure Synapse pourrait exploiter les deux vulnérabilités. Après avoir évalué la situation, Microsoft a décidé de corriger discrètement l’un des problèmes, minimisant ainsi le risque », a noté Yoran. « Ce n’est qu’après qu’ils nous ont dit que nous allions rendre public que leur histoire a changé… 89 jours après la notification de vulnérabilité initiale… qu’ils ont reconnu en privé la gravité du problème de sécurité. À ce jour, les clients de Microsoft n’ont pas été informés. »

La façon dont Microsoft a géré la vulnérabilité Follina a également dérangé les experts en cybersécurité. Ils disent que la société a décidé de publier un correctif après que le problème ait été « exploité activement pendant plus de sept semaines ».

Des chercheurs du Shadow Chaser Group ont informé Microsoft de l’étendue de la propagation de la vulnérabilité Follina en avril. Cependant, Microsoft ne l’a annoncé comme une vulnérabilité qu’il y a deux semaines.

En réponse aux allégations, Microsoft a déclaré : « Nous sommes profondément déterminés à protéger nos clients et pensons que la sécurité est un sport d’équipe. » En outre, la société a noté que « la publication d’une mise à jour de sécurité est un équilibre entre la qualité et la rapidité, et nous considérons la nécessité de minimiser les perturbations pour les clients tout en améliorant la protection ».

Related Posts

Leave a Comment