Sécurité : Google revoit sa politique des 90 jours, un petit changement aux grandes conséquences

Un délai de 90 jours pleins quoi qu'il arrive...

 

Le Project Zero de Google, division chargée d'écumer programmes, applications, services et sites web à la recherche de vulnérabilités zero-day, laisse désormais un délai de 90 jours pleins aux éditeurs et développeurs de services touchés pour concocter un correctif et le déployer. Une nouveauté discrète, mais qui a son importance. Voici pourquoi...

Crédit : Jefferson Santos // Unsplash

Crédit : Jefferson Santos // Unsplash

Fondé en 2014, le Project Zero de Google a pour objectif de déceler des vulnérabilités zero-day (c’est-à-dire des failles n’ayant fait l’objet d’aucun correctif) et d’en informer les éditeurs des programmes concernés afin qu’ils puissent remédier au problème dans les plus brefs délais. Pour s’assurer que ce soit le cas, et que ces failles (souvent critiques) soient comblées le plus rapidement possible, cette équipe de chercheurs en sécurité, sous la houlette de Google, accorde un délai strict de 90 jours aux développeurs chargés des correctifs.

Si un patch est développé avant la fin de cette période, la faille est dévoilée au grand public, si aucun patch n’a été mis au point à temps, la vulnérabilité est rendue publique quand même. Le but de la manœuvre ? Imposer une épée de Damoclès aux firmes les moins diligentes en matière de sécurité.

2020, une année de test et d’indulgence

Seulement voilà, comme l’explique XDA Developers, la méthode a ses faiblesses… et peut même dans certains cas rendre vulnérables à des attaques les services ou programmes touchés. Et pour cause, même si un patch est développé avant la fin des 90 jours, ce dernier peut parfois nécessiter les 90 jours au grand complet pour être convenablement déployé. Or, jusqu’à présent, les chercheurs de Google se réservaient le droit de rendre publiques les vulnérabilités dès qu’un correctif avait été mis au point. « Publicité » était alors faite, exposant les éditeurs à des attaques visant à exploiter la faille avant que le patch ne soit parfaitement déployé. Cela devrait changer.

Google indique qu’il accordera désormais un délai de 90 jours complets, quoi qu’il arrive, avant de dévoiler l’existence d’une vulnérabilité zero-day. Si un correctif est trouvé avant la fin de cette période, la décision de rendre la faille publique ne sera plus unilatérale, mais concertée. Un accord mutuel devra ainsi être trouvé entre Google et les services concernés.

Cette nouveauté, en test sur l’année 2020, devrait permettre d’apporter une réponse plus équitable et mesurée au problème en évitant tout risque d’attaques avant le déploiement effectif des patchs.

Crédit : Google via XDA Developers

Crédit : Google via XDA Developers

Google précise néanmoins que sa politique n’évolue pas sur la question des bugs déjà exploités. Ces derniers doivent être solutionnés dans un délai maximum de sept jours, sans quoi ils seront rendus publics. En dépit de son rigorisme, le groupe se veut rassurant : 97,7 % des vulnérabilités découvertes par son équipe Project Zero seraient comblées avant la fin de l’échéance de 90 jours.

Les derniers articles