Google vient de modifier une des règles fondamentales de son Project Zero, celle du délai de 90 jours laissé aux développeurs pour diffuser un correctif suite à la découverte d’une faille.
Google a fondé en 2014 le Project Zero, une entité au sein d’Alphabet composée d’équipes de spécialistes en cybersécurité chargés de déceler les failles zéro day dans les logiciels et services.
En cas de découverte, l’équipe de Google prend alors contact avec les éditeurs à l’origine des programmes concernés dans le but de les informer des failles découvertes tout en les invitant à corriger le tir. Afin que les corrections soient réalisées rapidement pour prévenir toute exploitation de la faille entre alors la règle des 90 jours.
La société dispose ainsi d’un délai de 90 jours pour corriger la faille et déployer un patch. Si un patch est déployé avant les 90 jours, alors la faille est révélée au grand public, mais si aucun patch n’est déployé la faille est malgré tout rendue publique afin de faire pression sur les développeurs pour renforcer la sécurité de leurs services.
Mais le système n’est pas idéal : même si un patch correctif est déployé avant le délai des 90 jours, il peut nécessiter bien plus de temps pour être correctement déployé. La divulgation de la faille dès la publication du patch peut donc représenter des risques pour les utilisateurs et les services concernés. Qui plus est, une fois la vulnérabilité affichée, il devient très facile de cibler les services en question, et si le patch n’est pas complet, cela expose d’autant plus les utilisateurs.
Project Zero change donc de technique et conserve le délai de 90 jours, mais annonce désormais que les divulgations ne seront faites qu’à partir de 90 jours complets, patch ou pas. Si un correctif a été déployé avant la date limite, Google ne prendra plus de décision en solo pour communiquer sur la faille, mais se concertera avec le service ou éditeur concerné et l’annonce ne sera que le résultat d’un accord mutuel.
L’année 2020 servira ainsi de test pour ce changement qui pourrait permettre de renforcer un peu plus la sécurité sur Internet. Aucun changement n’est à noter concernant les autres failles déjà exploitées : Google n’accorde toujours que 7 jours pour le déploiement d’un correctif avant de partager ses découvertes. La marque annonce ainsi que sur l’année 2019, 97,7% des failles Zéro Day découvertes ont été comblées avant la fin de l’échéance des 90 jours.
