En publiant ses découvertes, l'ingénieur de Google a, pour sa part, mentionné avoir attendu 90 jours. « Si au bout de 90 jours il n'y a pas eu de patch globalement déployé alors ce rapport de bug sera automatiquement visible au public », est-il écrit en bas du message.
Chris Betz s'est exprimé sur le délicat sujet de la divulgation coordonnée de vulnérabilités, une question qui fait débat depuis très longtemps. Faut-il attendre avant de publier les détails d'une vulnérabilité ? Pour certains, la publication immédiate forcerait l'éditeur à produire un correctif et donc à sécuriser plus rapidement les consommateurs. M. Bers affirme : « Nous ne sommes pas d'accord ». L'homme estime que cela rajoute de la pression dans un environnement déjà complexe. Il déclare qu'il faut au préalable avoir déployé le correctif.
La politique de Google vise à attendre trois mois même si aucun correctif n'a été déployé, une position inflexible que Microsoft condamne.
« Google a publié des informations sur une vulnérabilité affectant un produit Microsoft deux jours avant notre correctif planifié dans le cadre de notre fameux Patch Tuesday et malgré le fait qu'on leur ait demandé d'éviter de le faire », affirme le responsable de la sécurité chez Microsoft. Selon lui, la publication de Google tenait plus à une provocation qu'à autre chose, affectant toutefois principalement les consommateurs. Et d'ajouter : « Ce qui est juste pour Google ne l'est pas toujours pour les utilisateurs ».
La firme de Redmond lance ainsi un appel afin que les éditeurs et les chercheurs en sécurité puissent coordonner leurs efforts pour sécuriser au maximum les utilisateurs de leurs services respectifs.
