Fondé en 2014, le Project Zero de Google a pour objectif de déceler des vulnérabilités zero-day (c’est-à-dire des failles n’ayant fait l’objet d’aucun correctif) et d’en informer les éditeurs des programmes concernés afin qu’ils puissent remédier au problème dans les plus brefs délais. Pour s’assurer que ce soit le cas, et que ces failles (souvent critiques) soient comblées le plus rapidement possible, cette équipe de chercheurs en sécurité, sous la houlette de Google, accorde un délai strict de 90 jours aux développeurs chargés des correctifs.
Si un patch est développé avant la fin de cette période, la faille est dévoilée au grand public, si aucun patch n’a été mis au point à temps, la vulnérabilité est rendue publique quand même. Le but de la manœuvre ? Imposer une épée de Damoclès aux firmes les moins diligentes en matière de sécurité.
2020, une année de test et d’indulgence
Seulement voilà, comme l’explique XDA Developers, la méthode a ses faiblesses… et peut même dans certains cas rendre vulnérables à des attaques les services ou programmes touchés. Et pour cause, même si un patch est développé avant la fin des 90 jours, ce dernier peut parfois nécessiter les 90 jours au grand complet pour être convenablement déployé. Or, jusqu’à présent, les chercheurs de Google se réservaient le droit de rendre publiques les vulnérabilités dès qu’un correctif avait été mis au point. « Publicité » était alors faite, exposant les éditeurs à des attaques visant à exploiter la faille avant que le patch ne soit parfaitement déployé. Cela devrait changer.
Google indique qu’il accordera désormais un délai de 90 jours complets, quoi qu’il arrive, avant de dévoiler l’existence d’une vulnérabilité zero-day. Si un correctif est trouvé avant la fin de cette période, la décision de rendre la faille publique ne sera plus unilatérale, mais concertée. Un accord mutuel devra ainsi être trouvé entre Google et les services concernés.
Cette nouveauté, en test sur l’année 2020, devrait permettre d’apporter une réponse plus équitable et mesurée au problème en évitant tout risque d’attaques avant le déploiement effectif des patchs.
Google précise néanmoins que sa politique n’évolue pas sur la question des bugs déjà exploités. Ces derniers doivent être solutionnés dans un délai maximum de sept jours, sans quoi ils seront rendus publics. En dépit de son rigorisme, le groupe se veut rassurant : 97,7 % des vulnérabilités découvertes par son équipe Project Zero seraient comblées avant la fin de l’échéance de 90 jours.
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix