Le Project Zero de Google attendra toujours 90 jours pour révéler les détails d’une faille
Le 14 janvier 2020 à 09h04
2 min
Internet
Le Project Zero est une équipe spécifique de Google, qui consacre son temps à la recherche de failles 0-day, c’est-à-dire inconnues des éditeurs concernés.
Créée en 2014, sa politique est des plus strictes : une fois la vulnérabilité signalée, l’éditeur a 90 jours pour la corriger. Sans quoi Google publie les détails pour faire évoluer la situation. Une ligne dure, mais Google est fier d’annoncer que 97,7 % des failles signalées sont traitées en temps et en heure.
Le programme s’est cependant attiré les foudres des développeurs à plusieurs reprises, pour deux raisons. D’abord parce que trois mois peuvent être un peu « courts » pour certaines failles, mais surtout parce qu’en cas de correctif rapide, les détails sont publiés dans la foulée.
Google annonce donc un changement : le délai de 90 jours sera dans tous les cas respecté pour la publication des détails. Si l’entreprise concernée publie le correctif au bout d’une semaine, les onze suivantes permettront de s’assurer qu’une majorité de machines seront à jour avant l’arrivée des détails.
Ce changement va être testé durant toute l’année, sans garantie cependant d’être entériné. La motivation devrait demeurer intacte pour les éditeurs contactés : plus ils corrigeront vite, plus les utilisateurs seront en sécurité. Car la publication des détails signale au reste du monde qu’une brèche est prête à être exploitée.
Le 14 janvier 2020 à 09h04
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/01/2020 à 09h18
#1
Les « failles 0-day, c’est-à-dire inconnues des éditeurs concernés »… mais qui sont aussi déjà exploitées par les pirates, non ? Sinon, ce sont juste des failles de sécurité simples, pas spécialement « 0-day », si ? Enfin, c’est comme ça que moi, je l’ai compris, au fil du temps.
Bon, après, comme toujours, ces failles sont présentées comme la fin du monde, alors que si ça touche juste 0,1% des gens (et encore, sous des conditions généralement hors de portée des gens ordinaires), ce sera vraiment pas de chance pour eux (encore qu’ils en auraient eu davantage de gagner au Loto). " />
Le 14/01/2020 à 10h43
#2
Comment tu sais quand tu trouves une faille, si elle est déjà exploitée ou pas par une autre personne dans le monde ? " /> Elle l’est “potentiellement”. Tant qu’elle n’es pas publiée ou corrigée, c’est une 0-day, exploitée ou non ca n’entre pas en ligne de compte.
Enfin, tout comme toi, d’après ce que j’ai compris " />
Le 14/01/2020 à 12h08
#3
zero day c’est pour le failles qui sont présentes depuis la v1 du logiciel. Si c’est une faille dû a une update c’est plus une zero day, non?
Le 14/01/2020 à 12h40
#4
Wikipedia:
“Dans le domaine de la sécurité informatique, une vulnérabilité zero-day — également orthographiée 0-day — (en français : « jour zéro ») est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive.”
Donc une faille découverte dans un logiciel qui n’est pas déjà connue est une 0day.
En effet, exploitée ou non, aucune différence.
Le 14/01/2020 à 13h45
#5
Euh, la faille sur les processeurs intel, c’est pas 0.1% des gens qui étaient concernés.
Alors certes, il n’y avait pas encore de méthode d’attaque simple. Mais ce genre de faille sans correctif, c’est juste une question de temps.
Le 14/01/2020 à 13h54
#6
La question c’est de savoir ce qui sera publié par Google sur la faille entre le jour 0 et le jour 90.
Le 14/01/2020 à 15h12
#7
Le 14/01/2020 à 16h35
#8
ok merci ;)