Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le Project Zero de Google devra trouver les failles 0-day avant les autres

Plus rapide que la NSA

Le Project Zero de Google devra trouver les failles 0-day avant les autres

Le 16 juillet 2014 à 16h42

Google lance aujourd'hui son initiative Project Zero, dont la mission est de trouver les failles de type 0-day, c'est-à-dire déjà exploitées quand elles sont découvertes. L’équipe constituée pour l'occasion comprend des pointures dans le domaine du hacking, et Google espère bien que la sécurité globale des produits utilisés par les internautes s’en trouvera renforcée.

Pirate Mot de passe Sécurité
Crédits : Hlib Shabashnyi/iStock/thinkstock

Trouver des failles avant qu'elles ne soient exploitées 

Les failles 0-day sont une activité commerciale presque comme une autre. Certains individus ou groupes sont chargés de les trouver pour les corriger, d’autres pour les exploiter. Parmi ces derniers, il y a évidemment les pirates, mais également la NSA (National Security Agency) et plus globalement l’ensemble des agences de sécurité et de renseignement. Ces failles peuvent se trouver dans n’importe quel code, qu’il s’agisse d’un logiciel classique, d’une application mobile, d’un composant web, d’un service en ligne et ainsi de suite.

 

Google a donc décidé de réunir une équipe dédiée à la recherche de ces failles pour qu’elles soient corrigées avant de pouvoir être exploitées : c’est le Project Zero. La firme de Mountain View annonce avoir embauché quelques-uns des meilleurs experts en sécurité dont Ben Hawkes, qui a un long historique de recherche de failles, notamment dans Flash, Georges Hotz, alias GeoHot qu’on ne présente plus, ainsi que Tavis Ormandy, travaillant déjà chez Google sur les questions de sécurité.

Une traque pour tous les logiciels et services 

Le Project Zero n’a pas pour vocation de chercher les failles dans les seuls services de Google. Chris Evans, qui dirigera l’équipe, indique qu’elle sera libre de s’orienter vers certains produits en fonction de ses propres critères. Les chercheurs sont donc raisonnablement libres mais ils devraient tout de même se rapprocher des produits les plus utilisés. Il y a donc fort à parier que les prochains bulletins de sécurité de Microsoft devraient comporter quelques remerciements à cette équipe, comme ce fut d’ailleurs déjà le cas (et réciproquement).

 

L’ensemble du projet se veut assez large. L’objectif principal est de trouver des failles et donc d’avertir les éditeurs concernés (et à eux seuls), mais pas seulement. Les chercheurs vont également examiner les méthodes utilisées pour les attaques ainsi que chercher de nouvelles manières de s’en protéger. Google espère en retirer de précieux renseignements pour la construction des futurs produits ou le renforcement de protections existantes.

Google continue de recruter 

Cela étant, Evans précise qu’il ne s’agit que du lancement de l’initiative et que la firme recrute activement. Toutes les failles qui seront trouvées dans le futur seront cependant stockées dans une base distincte, mais les détails n’y seront évidemment pas mentionnés. Plus l’équipe grandira, plus la base devrait donc rapidement se remplir.

 

Il ne reste finalement plus qu’à observer le fonctionnement de cette nouvelle équipe pour vérifier au cours des prochains mois si elle tient ses promesses. Il est évident dans tous les cas que cette initiative ne peut avoir que des répercussions positives sur la sécurité en général, tout du moins tant que Google transmet aussi rapidement que possible et de manière transparente les détails aux différents éditeurs.

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

être payé pour chercher les failles de sécurité dans les sites



good job <img data-src=" />

votre avatar

Ils ne seront ni les premiers ni les derniers à faire ça. Et après des décennies de recherche ça ne fonctionne toujours pas correctement.



On sait tous que la sécurité de nos ordinateurs est minable mais, surtout, ne changeons rien à la façon dont nous développons. Les rustines ne fonctionnent pas, alors mettons-en davantage. Continuons à croire qu’il suffit de rendre un truc open-source, de faire un audit ou de passer deux-trois analyses statiques. Ou d’utiliser agile, ou du peer programming, ou d’aligner des post-its en colonne. Continuons à croire que le moindre serveur n’est pas bourré de failles.



Pendant ce temps quelques uns s’efforcent de concevoir une informatique fondée sur des langages qui produisent des programmes dont de nombreux aspects sont prouvables : isolation mémoire, modèles déclaratifs pour le traitement des entrées (moins de risques de bogues et prouvables comme n’étant pas Turing complets), concurrence vérifiable, etc.

votre avatar



Chris Evans Captain America, qui dirigera l’équipe, indique qu’elle sera libre de s’orienter vers certains produits en fonction de ses propres critères.





En fait, cette équipe, c’est le SHIELD hein ? <img data-src=" />

votre avatar







TheRealBix a écrit :



En fait, cette équipe, c’est le SHIELD hein ? <img data-src=" />





Un SHIELD dirigé par Google, j’appellerais ça plutôt un dessous de plat design un peu trop cher <img data-src=" />







HarmattanBlow a écrit :



Ils ne seront ni les premiers ni les derniers à faire ça. Et après des décennies de recherche ça ne fonctionne toujours pas correctement.



On sait tous que la sécurité de nos ordinateurs est minable mais, surtout, ne changeons rien à la façon dont nous développons. Les rustines ne fonctionnent pas, alors mettons-en davantage. Continuons à croire qu’il suffit de rendre un truc open-source, de faire un audit ou de passer deux-trois analyses statiques. Ou d’utiliser agile, ou du peer programming, ou d’aligner des post-its en colonne. Continuons à croire que le moindre serveur n’est pas bourré de failles.



Pendant ce temps quelques uns s’efforcent de concevoir une informatique fondée sur des langages qui produisent des programmes dont de nombreux aspects sont prouvables : isolation mémoire, modèles déclaratifs pour le traitement des entrées (moins de risques de bogues et prouvables comme n’étant pas Turing complets), concurrence vérifiable, etc.







Tout à fait.

Et comme aurait dit Dijkstra :

« À propos des langages : il est impossible de tailler un crayon avec une hache émoussée. Il est vain d’essayer, à la place, de le faire avec dix haches émoussées. »





Il n’y a qu’à espérer que cette base de données de failles 0-day sera effectivement utilisée à bon escient.

Je ne peux m’empêcher de penser qu’elle servira d’abord des choses moins humanistes en premier.


votre avatar



Plus rapide que la NSA





La NSA ne cherche par les failles. Elle les ajoute. <img data-src=" />

votre avatar

Je croyais que le principe d’une faille 0-day c’était justement qu’elle était exploitée au moment de sa découverte par l’éditeur responsable.

Si Google ne compte pas les exploitées et qu’il compte les trouver avant les autres alors est-ce qu’on peut parler de failles 0-day ?

votre avatar







Zef a écrit :



Je croyais que le principe d’une faille 0-day c’était justement qu’elle était exploitée au moment de sa découverte par l’éditeur responsable.

Si Google ne compte pas les exploitées et qu’il compte les trouver avant les autres alors est-ce qu’on peut parler de failles 0-day ?







Ah mince grillé de justesse <img data-src=" />



J’avais la même définition pour le 0-day, c’est déjà exploité quand c’est divulgué… Donc là Google cherche des failles -1-day <img data-src=" />



Bientôt Google IDE pourra nous avertir qu’on est en train de coder un truc pas secure <img data-src=" />


votre avatar







Zef a écrit :



Je croyais que le principe d’une faille 0-day c’était justement qu’elle était exploitée au moment de sa découverte par l’éditeur responsable.

Si Google ne compte pas les exploitées et qu’il compte les trouver avant les autres alors est-ce qu’on peut parler de failles 0-day ?









Jarodd a écrit :



J’avais la même définition pour le 0-day, c’est déjà exploité quand c’est divulgué…







Mais qui a dit que Google publiera des failles non exploitées après qu’il les ait trouvées <img data-src=" /> ?


votre avatar

Ouais mais parler de faille 0-day c’est coooooooool

votre avatar







HarmattanBlow a écrit :











De toute facon, c’est pas en creant des technos puis en y ajoutant 50 surcouches pour faire tel ou tel trucs qu’on va augmenter la securite, au contraire.



Je vise les technos web generalement, mais ca vaut aussi bien pour tout plein d’autre technos reseau et j’en passe.



Tout ce qui touche au javascript et compagnie est un merdier sans nom par exemple niveau securite … le nombre de donnees qui passe aussi en clair souvent dans les requites html etc … c’est juste d’une debilite …



le web est une calamite sans nom … mais bon, le 100% securise n’existe pas mais on est loin d’avir creer des technos securisee au maximum non plus …


votre avatar







127.0.0.1 a écrit :



La NSA ne cherche par les failles. Elle les ajoute. <img data-src=" />







Tiens, c’est déjà trolldedi ? <img data-src=" />


votre avatar

C’est un coup de markéting, <img data-src=" />

votre avatar







Zef a écrit :



Je croyais que le principe d’une faille 0-day c’était justement qu’elle était exploitée au moment de sa découverte par l’éditeur responsable.

Si Google ne compte pas les exploitées et qu’il compte les trouver avant les autres alors est-ce qu’on peut parler de failles 0-day ?





La définition me semble correcte, du coup ce Project Zero a plutôt vocation à éviter que des failles ne deviennent 0-day, autrement dit à découvrir les failles, et avertir l’éditeur pour qu’il la patche avant qu’elle ne soit découverte et exploitée par quelqu’un d’autre.



Enfin c’est ce que j’ai compris.


votre avatar

En bref, Google veut être le chantre de la sécurité <img data-src=" />

votre avatar







Oz a écrit :



En bref, Google veut être le chantre de la sécurité <img data-src=" />





… so Google is evil! <img data-src=" />



L’art de résumer une news sans contenir sa “haine”! <img data-src=" />


votre avatar







frikakwa a écrit :



… so Google is evil! <img data-src=" />



L’art de résumer une news sans contenir sa “haine”! <img data-src=" />







Sans arme, ni haine ni violence <img data-src=" />


votre avatar







Oz a écrit :



Sans arme, ni haine ni violence <img data-src=" />





Peace my friend! <img data-src=" />



Nan mais perso… moi non plus je ne vois pas trop le “truc”… comment ils vont gagner des sousous avec ça mais ce que tu disais sonnait un peu “allons-y les copains… cassons du sucre sur le dos de Big G”! <img data-src=" />


votre avatar







Lafisk a écrit :



De toute facon, c’est pas en creant des technos puis en y ajoutant 50 surcouches pour faire tel ou tel trucs qu’on va augmenter la securite, au contraire.





Tout à fait, c’est pour quoi la quasi-totalité des couches logicielles (OS, bios et firmwares compris) devront être réécrits avec ces outils. L’idée est de créer un runtime de quelques ko capable de faire tourner un code pour lequel on peut prouver un grand nombre de garanties de sécurité. Seule cette partie devra être invérifiable.



Et, oui, on peut grandement renforcer la sécurité sans compromettre les performances. Jusqu’à un certain point bien sûr mais au-delà l’avenir des perfs passe de toute façon par une parallélisation simplissime à mettre en oeuvre, pas par du code bas-niveau.





le web est une calamite sans nom … mais bon, le 100% securise n’existe pas mais on est loin d’avir creer des technos securisee au maximum non plus …



Les pistes ont toutes été défrichées et il ne reste plus qu’à les assembler dans des solutions clés en main. Certains acteurs ont commencé à s’y atteler.


votre avatar







frikakwa a écrit :



Peace my friend! <img data-src=" />



Nan mais perso… moi non plus je ne vois pas trop le “truc”… comment ils vont gagner des sousous avec ça mais ce que tu disais sonnait un peu “allons-y les copains… cassons du sucre sur le dos de Big G”! <img data-src=" />







On se demandait aussi comment ils gagneraient du fric avec leur moteur de recherche, il y a 10 ans <img data-src=" />


votre avatar







Pazns a écrit :



On se demandait aussi comment ils gagneraient du fric avec leur moteur de recherche, il y a 10 ans <img data-src=" />





Certes… mais tu ne réponds pas à mon INterrogation. <img data-src=" /> Quel business model pour ce genre d’INitiative?


votre avatar

L’avantage pour Google c’est de donner confiance en leurs produits, ni plus ni moins. Si mme Michu ne fait plus confiance a google alors plus de revenus pour eux. C’est pas humanitaire du tout hein, c’est une logique financière.



Sinon pour le dev vraiment “sécurisé”, le seul moyen c’est le “trusted computing”, chiffrement hardware et up (et encore, qui vérifie le hard ?). Perso ça ne me dit pas trop… Ça ressemble au problème de la sécurité routière un petit peu :/



Il y a moyen de faire mieux que nos pratiques existantes, mais amha ça implique de s’inspirer de l’architecture et de ne pas réinventer la roue tous les jours…

votre avatar







frikakwa a écrit :



Certes… mais tu ne réponds pas à mon INterrogation. <img data-src=" /> Quel business model pour ce genre d’INitiative?







Honnêtement je n’en sais rien, là tout de suite.

Je pencherais plutôt pour un “influence model” plutôt qu’une histoire de modèle économique, ou alors peut-être un modèle seulement indirectement économique.

Ça peut être pour se forger une assise dans le dev de patchs privés pour entreprises, par exemple. Il doit bien y avoir des trous juridiques dans toute ces licences libres que Google pourrait occuper.





Je sais en tout cas que lorsque Google creuse quelque part, c’est quand même souvent pour des affaires de gros sous, alors restons méfiant <img data-src=" />


votre avatar

Ah ben j’ai 2 réponses pour le prix d’une! INtéressantes… <img data-src=" /><img data-src=" />

votre avatar







HarmattanBlow a écrit :



Tout à fait, c’est pour quoi la quasi-totalité des couches logicielles (OS, bios et firmwares compris) devront être réécrits avec ces outils. L’idée est de créer un runtime de quelques ko capable de faire tourner un code pour lequel on peut prouver un grand nombre de garanties de sécurité. Seule cette partie devra être invérifiable.



Et, oui, on peut grandement renforcer la sécurité sans compromettre les performances. Jusqu’à un certain point bien sûr mais au-delà l’avenir des perfs passe de toute façon par une parallélisation simplissime à mettre en oeuvre, pas par du code bas-niveau.





Les pistes ont toutes été défrichées et il ne reste plus qu’à les assembler dans des solutions clés en main. Certains acteurs ont commencé à s’y atteler.







Intéressant votre débat sur les langages. Des liens pour creuser ? Merci….


votre avatar







frikakwa a écrit :



Certes… mais tu ne réponds pas à mon INterrogation. <img data-src=" /> Quel business model pour ce genre d’INitiative?







Tout ce qui est bon pour développer Internet est bon pour développer Google…



Un des buts recherché est probablement d’améliorer la sécurité, pour que les personnes se servent + d’Internet (car + de confiance), et donc + de Google.


votre avatar







frikakwa a écrit :



Nan mais perso… moi non plus je ne vois pas trop le “truc”… comment ils vont gagner des sousous avec ça





En mettant des pubs AdSense dans les patches ? <img data-src=" />


votre avatar







abitbool a écrit :



Tout ce qui est bon pour développer Internet est bon pour développer Google…



Un des buts recherché est probablement d’améliorer la sécurité, pour que les personnes se servent + d’Internet (car + de confiance), et donc + de Google.





INspirer la confiance! Pas un mauvais plan marketing en ce moment! <img data-src=" />





Konrad a écrit :



En mettant des pubs AdSense dans les patches ? <img data-src=" />





<img data-src=" /> Tu sors! <img data-src=" />


votre avatar







frikakwa a écrit :



INspirer la confiance! Pas un mauvais plan marketing en ce moment! <img data-src=" />







Attirer les clients qui ont accès au net mais qui ne s’en servent pas ou peu…



Développer certains usages (notamment les ventes, à partir du moment ou on paye il faut avoir confiance…).


votre avatar







svendi a écrit :



Intéressant votre débat sur les langages. Des liens pour creuser ? Merci….







Je crois qu’on pourra par exemple citer Go (Google) ou Rust (Mozilla) (bien plus jeune mais non moins prometteur, je pense).

Ils veulent mettre l’accent sur la sécurité mémoire ou la concurrence, par exemple.



Un article sur la toute récente dernière version de Rust :

http://linuxfr.org/news/encore-une-couche-de-rouille-avec-rust-0-11



Pas de lien vers Go, j’aime pas Google <img data-src=" />


votre avatar







svendi a écrit :



Intéressant votre débat sur les langages. Des liens pour creuser ? Merci….





Comme dit plus haut y’à le moteur de rendu servo de Mozilla développé en Rust et côté Microsoft y’a surtout le projet Singularity puis maintenant Midori (qui est en phase de production) développé en M#… Fait une recherche sur NextINpact (c’est le site français qui en parle le plus), le blog de ma-config.com (développé par l’inpactient Charon) en parle aussi entre deux ou trois autres projets de Microsoft sensé être secret…


votre avatar







killer63 a écrit :



être payé pour chercher les failles de sécurité dans les sites



good job <img data-src=" />





Oui. Le turnover risque d’être important. Au début, des gens super qualifiés. Et à la fin, des étudiants stagiaires.


votre avatar







killer63 a écrit :



être payé pour chercher les failles de sécurité dans les sites



good job <img data-src=" />





Truc trop chiant :/

Ce qui est kiffant dans le hacking c’est quand tu en chies pour trouver et que ENFIN tu peux utiliser ta faille.

La quand tu as trouvé, tu as juste le droit d’écrire de la doc <img data-src=" />


votre avatar







gokudomatic a écrit :



Oui. Le turnover risque d’être important. Au début, des gens super qualifiés. Et à la fin, des étudiants stagiaires.







on parle de google là



pas d’orange



je doute que ce soit une équipe de stagiaires qui composent cette équipe


votre avatar







killer63 a écrit :



on parle de google là



pas d’orange



je doute que ce soit une équipe de stagiaires qui composent cette équipe





Pas au début. Mais quand les employés verront à quel point la tâche est horrible, il n’y aura plus grand monde pour accepter de faire ça. Ce n’est pas une question d’économie pour l’employeur. C’est juste que seuls ceux qui veulent se faire une première expérience et entrer dans le monde de travail peuvent accepter de faire un job aussi passionnant que la recherche d’aiguilles dans une botte de foin.


votre avatar







gokudomatic a écrit :



Pas au début. Mais quand les employés verront à quel point la tâche est horrible, il n’y aura plus grand monde pour accepter de faire ça. Ce n’est pas une question d’économie pour l’employeur. C’est juste que seuls ceux qui veulent se faire une première expérience et entrer dans le monde de travail peuvent accepter de faire un job aussi passionnant que la recherche d’aiguilles dans une botte de foin.





Ah ? Donc des sociétés comme Vupen n’embauche donc que des stagiaires ????


votre avatar







frikakwa a écrit :



Peace my friend! <img data-src=" />



Nan mais perso… moi non plus je ne vois pas trop le “truc”… comment ils vont gagner des sousous avec ça mais ce que tu disais sonnait un peu “allons-y les copains… cassons du sucre sur le dos de Big G”! <img data-src=" />







Ce que tu ne comprends pas, c’est que Google gagne de l’argent car les utilisateurs ont confiance dans leurs services (en terme de sécurité j’entends). Le jour où les gros titres annoncent :“Vulnérabilité découverte dans GMail exploitée depuis 2 ans par un groupe de hackers russes”, là, ce sont des dizaines ou des centaines de millions de dollars qui s’envolent pour Google.

Faire de la sécurité une priorité, de manière proactive est une réponse face au risque que je viens de décrire.







arno53 a écrit :



Ah ? Donc des sociétés comme Vupen n’embauche donc que des stagiaires ????







Ouaip, mais Vupen revends ses 0-days à la NSA… à mon avis le jeu en vaut la chandelle. C’est éthiquement discutable en revanche… c’est un peu comme si je fabriquais des clés qui rentrent dans les serrures de maisons de particuliers et que je vendais ces clés à des voleurs. Ça ne ferait pas de moi un voleur, mais ma position serait délicate…


Le Project Zero de Google devra trouver les failles 0-day avant les autres

  • Trouver des failles avant qu'elles ne soient exploitées 

  • Une traque pour tous les logiciels et services 

  • Google continue de recruter 

Fermer