Connexion
Abonnez-vous

Le Project Zero de Google attendra toujours 90 jours pour révéler les détails d’une faille

Le Project Zero de Google attendra toujours 90 jours pour révéler les détails d’une faille

Le 14 janvier 2020 à 09h04

Le Project Zero est une équipe spécifique de Google, qui consacre son temps à la recherche de failles 0-day, c’est-à-dire inconnues des éditeurs concernés.

Créée en 2014, sa politique est des plus strictes : une fois la vulnérabilité signalée, l’éditeur a 90 jours pour la corriger. Sans quoi Google publie les détails pour faire évoluer la situation. Une ligne dure, mais Google est fier d’annoncer que 97,7 % des failles signalées sont traitées en temps et en heure.

Le programme s’est cependant attiré les foudres des développeurs à plusieurs reprises, pour deux raisons. D’abord parce que trois mois peuvent être un peu « courts » pour certaines failles, mais surtout parce qu’en cas de correctif rapide, les détails sont publiés dans la foulée.

Google annonce donc un changement : le délai de 90 jours sera dans tous les cas respecté pour la publication des détails. Si l’entreprise concernée publie le correctif au bout d’une semaine, les onze suivantes permettront de s’assurer qu’une majorité de machines seront à jour avant l’arrivée des détails.

Ce changement va être testé durant toute l’année, sans garantie cependant d’être entériné. La motivation devrait demeurer intacte pour les éditeurs contactés : plus ils corrigeront vite, plus les utilisateurs seront en sécurité. Car la publication des détails signale au reste du monde qu’une brèche est prête à être exploitée.

Le 14 janvier 2020 à 09h04

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Les « failles 0-day, c’est-à-dire inconnues des éditeurs concernés »… mais qui sont aussi déjà exploitées par les pirates, non ? Sinon, ce sont juste des failles de sécurité simples, pas spécialement « 0-day », si ? Enfin, c’est comme ça que moi, je l’ai compris, au fil du temps.



Bon, après, comme toujours, ces failles sont présentées comme la fin du monde, alors que si ça touche juste 0,1% des gens (et encore, sous des conditions généralement hors de portée des gens ordinaires), ce sera vraiment pas de chance pour eux (encore qu’ils en auraient eu davantage de gagner au Loto).&nbsp;<img data-src=" />

votre avatar

Comment tu sais quand tu trouves une faille, si elle est déjà exploitée ou pas par une autre personne dans le monde ?&nbsp;<img data-src=" />&nbsp;Elle l’est “potentiellement”. Tant qu’elle n’es pas publiée ou corrigée, c’est une 0-day, exploitée ou non ca n’entre pas en ligne de compte.

Enfin, tout comme toi, d’après ce que j’ai compris&nbsp;<img data-src=" />

votre avatar

zero day c’est pour le failles qui sont présentes depuis la v1 du logiciel. Si c’est une faille dû a une update c’est plus une zero day, non?

votre avatar

Wikipedia:

“Dans le domaine de la sécurité informatique, une vulnérabilité zero-day — également orthographiée 0-day — (en français : « jour zéro ») est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive.”



Donc une faille découverte dans un logiciel qui n’est pas déjà connue est une 0day.



En effet, exploitée ou non, aucune différence.









ThomasBrz a écrit :



zero day c’est pour le failles qui sont présentes depuis la v1 du logiciel. Si c’est une faille dû a une update c’est plus une zero day, non?





C’est même pour les faille de la version bêta je pense (v0)

/troll



Sinon c’est une très bonne chose que Google arrête de dévoiler les détails à l’instant de la correction. 3 mois ça peut laisser le temps de patcher, je trouve que c’est une bonne chose.


votre avatar

Euh, la faille sur les processeurs intel, c’est pas 0.1% des gens qui étaient concernés.

Alors certes, il n’y avait pas encore de méthode d’attaque simple. Mais ce genre de faille sans correctif, c’est juste une question de temps.

votre avatar

La question c’est de savoir ce qui sera publié par Google sur la faille entre le jour 0 et le jour 90.





  1. rien du tout =&gt; ca reste une 0-day, le public n’en connais pas l’existence et ne peut pas se protéger.

  2. des généralités =&gt; le public peut pas se protéger en débranchant/désactivant le composant fautif.

  3. du spécifique =&gt; risque d’exploit, même problème que le full disclosure.

votre avatar







SirGallahad a écrit :



Euh, la faille sur les processeurs intel, c’est pas 0.1% des gens qui étaient concernés.

Alors certes, il n’y avait pas encore de méthode d’attaque simple. Mais ce genre de faille sans correctif, c’est juste une question de temps.





Peu importe le pourcentage : le sens de mon propos est que dans les faits, sachant en plus qu’une bonne part de ces failles nécessitent un accès physique à la machine (donc, si je suis devant, le pirate devra attendre son tour), M. et Mme Toulemonde risquent peu de se faire attaquer leurs PC persos chez eux à cause de ces failles (utiliser des logiciels crackés ou aller sur des sites contrefaits constitue un risque bien plus élevé, même si aucun site légitime n’est à l’abri de se faire pirater non plus). Ce qui ne veut évidemment pas dire qu’il ne faut pas chercher à les corriger dès que et du mieux possible (mais pour mon Core 2 Duo de 2009, déjà, je sais que c’est mort pour Spectre V2 ; je vais pas changer de PC pour autant, tant pis).


votre avatar

ok merci ;)

Le Project Zero de Google attendra toujours 90 jours pour révéler les détails d’une faille

Fermer