Repérer des failles informatiques, c’est bien. Laisser assez de temps pour les corriger, c’est mieux. Voilà, en quelque sorte, la philosophie générale que Google parait décidé à appliquer à l’avenir dans le cadre de son « Project Zero ». Dans un billet de blog partagé le 15 avril 2021, le géant du net a présenté de quelle façon il entend désormais rendre publiques les vulnérabilités qu’il découvre dans les logiciels.
La nouvelle est d’importance, car l’initiative « Project Zero » est l’une des plus en vue dans le domaine de la cybersécurité. Mise en place en 2014 par l’entreprise américaine, elle est spécialisée dans la recherche de brèches critiques dans les programmes informatiques, et tout particulièrement les failles dites 0-day, c’est-à-dire qui ne sont pas documentées ou qui n’ont pas été repérées.
Elle s’est taillée une sacrée réputation, au point que ses membres sont parfois perçus comme une « dream team » : c’est l’un d’eux qui a découvert, à l’âge d’à peine 22 ans, les deux failles qui affectaient la quasi-totalité des processeurs, Meltdown et Spectre. C’est aussi elle qui a contribué à sécuriser l’iPhone, Windows, Linux, Cloudflare, Uplay, LastPass, Dashlane, TrueCrypt ou bien le shell Bash.
Sauf que ces découvertes, parfois retentissantes dans le monde de la tech, charrient quelques fois des polémiques : en effet, le « Project Zero » applique une politique de divulgation de failles qui spécifie que, pendant 90 jours, aucune information n’est révélée, sauf à la société dont le logiciel est affecté — c’est à ce moment-là que le décompte démarre. Puis, après 90 jours, une publication est réalisée.
En clair, Google Project Zero donne 90 jours aux entreprises pour réparer la faille, avant d’en parler sur leur blog très suivi, à la fois par des spécialistes en sécurité informatique, mais aussi par des profils nettement plus problématiques. En effet, il n’est pas improbable de penser que les cybercriminels se documentent aussi, comme les chercheurs, en lisant les rapports sur les vulnérabilités. Et ils capitalisent sur les bugs connus pour conduire leurs attaques.
Or, cette façon de faire a causé quelques frictions avec des entreprises tierces, y compris auprès de compagnies dont on peut penser qu’elles ont des bataillons entiers d’ingénieurs mobilisables pour intervenir sur une faille critique venant d’être signalée. On a ainsi eu ce type d’accrochage avec Microsoft et Windows 10 S. Dans un autre style, Apple a aussi eu un désaccord avec ce délai de 90 jours.
Un mois de silence en plus, pour laisser du temps pour les mises à jour
Ce cadre est en train d’évoluer, en partie du moins. En effet, le groupe prévoit de laisser un délai supplémentaire de 30 jours, afin que l’adoption des correctifs de sécurité se fasse sans risque pour le public. En clair, ce mois additionnel doit être un temps de diffusion du patch. En principe, après ces 30 jours, celui-ci doit être assez généralisé pour que l’on puisse en parler sans trop de risque.
Il pouvait en effet être paradoxal, au moment même où une solution a une brèche est trouvée, de signaler par ailleurs publiquement ses détails, alors qu’elle n’est pas colmatée partout. Toutefois, seules les entreprises qui respectent le cadre des 90 jours sont éligibles à cette fenêtre additionnelle, précise Google. Il est toujours possible pour les entreprises d’avoir 14 jours supplémentaires à ce délai de 90 jours.
Cette fenêtre de 30 jours s’applique aussi pour les vulnérabilités dont il est établi qu’elles sont activement exploitées par des tiers malveillants. Sauf que dans ce cas, pour des raisons évidentes, Google n’applique pas un délai de 90 jours, mais seulement de 7, avec la possibilité de l’étendre de 3 jours de plus. En effet, il est attendu que, dans de telles circonstances, les entreprises interviennent en urgence.
« Cette politique 90+30 donne aux entreprises plus de temps que notre politique actuelle, car passer directement à une politique 60+30 (ou similaire) serait probablement trop abrupt et perturbant. Nous préférons choisir un point de départ qui peut être respecté de manière cohérente par la plupart des fournisseurs, puis réduire progressivement les délais de développement et d’adoption des correctifs », écrit Google.
Autrement dit, on n’a peut-être pas encore fini d’entendre parler des échéances que veut fixer le « Project Zero » pour sécuriser la tech.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !