Incroyable récit d’une découverte de bug dans Microsoft Office 2007 par des experts en sécurité.
Les experts en informatique vivent parfois des moments qui peuvent sembler tirés d’un film comique. C’est le cas de Greg Linares, alias Laughing Mantis, qui a partagé une drôle d’anecdote sur la découverte d’une vulnérabilité majeure d’Office 2007, qui s’est finalement révélée être une erreur de leur part. Cela s’est déroulé fin 2006 alors que Linares travaillait pour la société de sécurité numérique eEye, chargée de tester la nouvelle suite Microsoft Office à la recherche de failles.
Du zéro-day à la découverte
Après avoir découvert une faille dans la fonction de conversion Word Art de Microsoft Office 2007, Linares et son équipe ont rapidement alerté le Microsoft Security Response Center (MSRC). Malgré la diffusion de plusieurs communiqués de presse et le relais de l’information par les médias, une découverte de David LeBlanc a révélé qu’il s’agissait en fait d’un faux positif.
Face à cette situation, Marc Maiffret, le responsable de l’équipe, a demandé à ses collaborateurs de trouver une nouvelle faille zero-day au plus vite pour sauver la réputation de l’entreprise. Après plusieurs jours d’efforts intensifs, une autre vulnérabilité a finalement été identifiée dans Microsoft Publisher, qui a été confirmée par les équipes de sécurité de Microsoft.
Un dénouement inattendu
Malgré les craintes initiales, l’équipe de eEye a pu confirmer sa découverte et rédiger un avis informant de la vulnérabilité. Grâce à cette nouvelle réussite, Greg Linares a conservé son poste au sein de l’entreprise et continue d’évoluer dans le domaine de la cybersécurité, notamment chez Huntress Labs.
Source : www.tomshardware.com