L'équipe de sécurité Project Zero de Google attendra désormais les 90 jours complets avant de divulguer les vulnérabilités qu'elle découvre.
Project Zero est une division de sécurité employée par Google, qui a été fondée en 2014. La mission principale de l'équipe est de découvrir les vulnérabilités du jour zéro, c'est-à-dire les vulnérabilités qui sont inconnues (ou non résolues par) la partie qui devrait être intéressée par leur atténuation. "Heartbleed" est un de ces exploits zero-day, qui a été signalé en privé par deux équipes de sécurité distinctes à OpenSSL. L'une de ces équipes de sécurité opérait sous Google et a finalement conduit à la création du Project Zero. Le bug a été découvert en avril 2014, une version d'OpenSSL avec le bug corrigé a été publiée quelques jours plus tard avec une divulgation complète du bug. Cette divulgation complète signifiait que les systèmes non mis à jour immédiatement étaient en danger, même si cela motive généralement les équipes de développeurs à mettre à jour leurs logiciels.
Depuis lors, le Project Zero de Google a fonctionné de la même manière. Lorsqu'un bug zero-day est découvert, l'équipe le signale en privé à la société propriétaire du logiciel. À compter de la date de divulgation, l’entreprise dispose de 90 jours pour corriger le bug. S'ils le corrigent avant la fin du délai de 90 jours, Google publiera les détails de la vulnérabilité. Si les 90 jours s'écoulent sans qu'elle soit corrigée, l'équipe publiera quand même la vulnérabilité, ce qui vise à rendre les utilisateurs conscients des problèmes que les logiciels qu'ils utilisent peuvent rencontrer, tout en motivant potentiellement l'entreprise à travailler plus rapide. Il y a un défaut que les fournisseurs perçoivent avec ce système, et tout comme avec Heartbleed, c'est que les utilisateurs (ou les développeurs) ne seront peut-être pas en mesure de mettre à niveau leurs systèmes assez rapidement avant de devenir victime de exploitation. Pour cette raison, l'équipe Project Zero a annoncé que pour l'année, elle essaierait d'attendre les 90 jours, quelle que soit la rapidité (ou la lenteur) de la correction de la vulnérabilité.
La politique de Google consistant à divulguer les bugs dans les 7 jours s'ils trouvent des preuves que le bug est exploité dans la nature n'est pas affectée. Dans le même article de blog, l'équipe Project Zero a également annoncé un certain nombre d'autres petits changements. Google est également fier d'annoncer que 97,7 % de tous les problèmes découverts sont résolus dans un délai de 90 jours. Vous pouvez lire l’article de blog complet ci-dessous.
Source: Projet Google Zéro