Google lance aujourd'hui son initiative Project Zero, dont la mission est de trouver les failles de type 0-day, c'est-à-dire déjà exploitées quand elles sont découvertes. L’équipe constituée pour l'occasion comprend des pointures dans le domaine du hacking, et Google espère bien que la sécurité globale des produits utilisés par les internautes s’en trouvera renforcée.
Trouver des failles avant qu'elles ne soient exploitées
Les failles 0-day sont une activité commerciale presque comme une autre. Certains individus ou groupes sont chargés de les trouver pour les corriger, d’autres pour les exploiter. Parmi ces derniers, il y a évidemment les pirates, mais également la NSA (National Security Agency) et plus globalement l’ensemble des agences de sécurité et de renseignement. Ces failles peuvent se trouver dans n’importe quel code, qu’il s’agisse d’un logiciel classique, d’une application mobile, d’un composant web, d’un service en ligne et ainsi de suite.
Google a donc décidé de réunir une équipe dédiée à la recherche de ces failles pour qu’elles soient corrigées avant de pouvoir être exploitées : c’est le Project Zero. La firme de Mountain View annonce avoir embauché quelques-uns des meilleurs experts en sécurité dont Ben Hawkes, qui a un long historique de recherche de failles, notamment dans Flash, Georges Hotz, alias GeoHot qu’on ne présente plus, ainsi que Tavis Ormandy, travaillant déjà chez Google sur les questions de sécurité.
Une traque pour tous les logiciels et services
Le Project Zero n’a pas pour vocation de chercher les failles dans les seuls services de Google. Chris Evans, qui dirigera l’équipe, indique qu’elle sera libre de s’orienter vers certains produits en fonction de ses propres critères. Les chercheurs sont donc raisonnablement libres mais ils devraient tout de même se rapprocher des produits les plus utilisés. Il y a donc fort à parier que les prochains bulletins de sécurité de Microsoft devraient comporter quelques remerciements à cette équipe, comme ce fut d’ailleurs déjà le cas (et réciproquement).
L’ensemble du projet se veut assez large. L’objectif principal est de trouver des failles et donc d’avertir les éditeurs concernés (et à eux seuls), mais pas seulement. Les chercheurs vont également examiner les méthodes utilisées pour les attaques ainsi que chercher de nouvelles manières de s’en protéger. Google espère en retirer de précieux renseignements pour la construction des futurs produits ou le renforcement de protections existantes.
Google continue de recruter
Cela étant, Evans précise qu’il ne s’agit que du lancement de l’initiative et que la firme recrute activement. Toutes les failles qui seront trouvées dans le futur seront cependant stockées dans une base distincte, mais les détails n’y seront évidemment pas mentionnés. Plus l’équipe grandira, plus la base devrait donc rapidement se remplir.
Il ne reste finalement plus qu’à observer le fonctionnement de cette nouvelle équipe pour vérifier au cours des prochains mois si elle tient ses promesses. Il est évident dans tous les cas que cette initiative ne peut avoir que des répercussions positives sur la sécurité en général, tout du moins tant que Google transmet aussi rapidement que possible et de manière transparente les détails aux différents éditeurs.
Commentaires (36)
être payé pour chercher les failles de sécurité dans les sites
" />
good job
Ils ne seront ni les premiers ni les derniers à faire ça. Et après des décennies de recherche ça ne fonctionne toujours pas correctement.
On sait tous que la sécurité de nos ordinateurs est minable mais, surtout, ne changeons rien à la façon dont nous développons. Les rustines ne fonctionnent pas, alors mettons-en davantage. Continuons à croire qu’il suffit de rendre un truc open-source, de faire un audit ou de passer deux-trois analyses statiques. Ou d’utiliser agile, ou du peer programming, ou d’aligner des post-its en colonne. Continuons à croire que le moindre serveur n’est pas bourré de failles.
Pendant ce temps quelques uns s’efforcent de concevoir une informatique fondée sur des langages qui produisent des programmes dont de nombreux aspects sont prouvables : isolation mémoire, modèles déclaratifs pour le traitement des entrées (moins de risques de bogues et prouvables comme n’étant pas Turing complets), concurrence vérifiable, etc.
Chris Evans Captain America, qui dirigera l’équipe, indique qu’elle sera libre de s’orienter vers certains produits en fonction de ses propres critères.
En fait, cette équipe, c’est le SHIELD hein ?
Plus rapide que la NSA
La NSA ne cherche par les failles. Elle les ajoute.
Je croyais que le principe d’une faille 0-day c’était justement qu’elle était exploitée au moment de sa découverte par l’éditeur responsable.
Si Google ne compte pas les exploitées et qu’il compte les trouver avant les autres alors est-ce qu’on peut parler de failles 0-day ?
Ouais mais parler de faille 0-day c’est coooooooool
C’est un coup de markéting,
" />
En bref, Google veut être le chantre de la sécurité
" />
L’avantage pour Google c’est de donner confiance en leurs produits, ni plus ni moins. Si mme Michu ne fait plus confiance a google alors plus de revenus pour eux. C’est pas humanitaire du tout hein, c’est une logique financière.
Sinon pour le dev vraiment “sécurisé”, le seul moyen c’est le “trusted computing”, chiffrement hardware et up (et encore, qui vérifie le hard ?). Perso ça ne me dit pas trop… Ça ressemble au problème de la sécurité routière un petit peu :/
Il y a moyen de faire mieux que nos pratiques existantes, mais amha ça implique de s’inspirer de l’architecture et de ne pas réinventer la roue tous les jours…
Ah ben j’ai 2 réponses pour le prix d’une! INtéressantes…
" />
" />