Project Zero teste un nouveau modèle pour divulguer les vulnérabilités qui donnera plus de temps aux OEM pour déployer les correctifs auprès des utilisateurs concernés.
L’équipe Project Zero de Google annonce des changements majeurs dans la manière dont elle divulgue au public les vulnérabilités de sécurité. Depuis son lancement, Project Zero a respecté un délai de divulgation strict de 90 jours. Cela signifie que lorsqu'une vulnérabilité est trouvée, Project Zero attendre 90 jours avant de documenter publiquement les détails techniques. Cela permet aux fournisseurs de corriger la faille dans leur logiciel avant que les attaquants ne puissent l'exploiter.
Le Projet Zéro est maintenant tester un nouveau modèle pour 2021, qui accordera aux OEM un mois supplémentaire pour déployer les correctifs auprès des utilisateurs concernés. Auparavant, la documentation technique d'une vulnérabilité était effectuée dès l'expiration du délai de 90 jours, qu'un correctif ait été publié ou non. Dans le nouveau modèle, si un OEM résout le problème dans le délai de 90 jours, la documentation technique sera envoyée 30 jours après la correction.
Google affirme que la nouvelle politique 90+30 vise à faire de l'adoption des correctifs une partie explicite du programme de divulgation. Les fournisseurs disposeront de 90 jours pour développer le correctif et de 30 jours pour le déployer auprès de leurs utilisateurs.
"Le passage à un modèle « 90+30 » nous permet de dissocier le temps nécessaire pour mettre à jour les correctifs et le temps d'adoption des correctifs, réduisant ainsi le débat controversé autour de les compromis entre attaquants et défenseurs et le partage de détails techniques, tout en préconisant de réduire la durée pendant laquelle les utilisateurs finaux sont vulnérables aux attaques connues,", a déclaré Tim Willis, responsable de Project Zero, dans un article de blog.
Les vulnérabilités sauvages, qui sont activement exploitées, se verront toujours accorder un délai de divulgation de 7 jours. Mais désormais, si un problème est corrigé dans les 7 jours, Google publiera les détails techniques 30 jours après la correction. Auparavant, Google publiait les détails le septième jour, quelle que soit la date à laquelle le problème était résolu. De plus, les fournisseurs peuvent désormais demander un délai de grâce de 3 jours pour les vulnérabilités de cette nature, ce qui n’était pas proposé auparavant.
L'équipe de Project Zero reconnaît que cette nouvelle politique constitue une légère régression par rapport à sa position antérieure, qui donnait la priorité à la publication rapide des détails techniques au public. Cependant, l’équipe note que cette politique assouplie ne durera pas trop longtemps car elle cherchera à raccourcir le délai de divulgation dans un avenir proche. L’équipe a laissé entendre que pour 2022, elle passerait probablement à un modèle 84+28.