Project Zero fait enfin preuve d’un peu plus de souplesse et va laisser davantage de temps aux éditeurs pour développer, tester et déployer leurs patchs de sécurité avant de dévoiler les failles découvertes…

Project Zero, l’entité de Google en charge de dénicher des failles Zero Days dans les systèmes et applications est aussi réputée pour la qualité de ses chercheurs (à qui l’on doit notamment la découverte des failles Spectre et Meltdown) qu’elle est décriée par les grands éditeurs (notamment Microsoft et Apple) pour son manque de souplesse.
D’autant que l’entité a parfois été suspectée de pratiquer le « deux poids, deux mesures » lorsque les failles n’arrangeaient pas Google.

Rappelons qu’une faille « Zero Day » est une faille jusqu’ici inconnue et pour laquelle il n’existe pas de correctif.

La politique de Project Zero était jusqu’ici de publier la divulgation des failles découvertes 90 jours après que l’éditeur en cause en ai été informé. Quoi qu’il arrive, autrement dit, quelle que soit la complexité de la faille et du patch à réaliser.

Et c’est bien là le reproche régulièrement formulé par les différents éditeurs dont les produits ont été la cible des hackers du Project Zero. Car lorsqu’une faille est découverte, l’éditeur doit la valider, en comprendre les mécanismes, développer un correctif ce qui n’est déjà pas toujours évident à faire en 90 jours mais surtout il doit tester et valider le correctif puis le déployer ce qui constitue forcément un défi majeur quand le système ou le logiciel est utilisé par plus d’un milliard d’utilisateurs comme c’est le cas de Windows ou de iOS par exemple !

Près de 6 ans après sa création, Project Zero annonce officiellement mettre en place une nouvelle politique de divulgation des failles découvertes laissant un peu plus de champ de manœuvre aux éditeurs pour publier un patch mais surtout aux entreprises pour déployer les patchs avant d’être victimes des attaques qui accompagnent toute divulgation de vulnérabilités !

Désormais, Project Zero accordera 30 jours supplémentaires à l’éditeur (et donc aux entreprises clientes) pour publier les détails techniques tant que l’éditeur aura bien développé un correctif dans les 90 jours après en avoir été averti. Cela laisse donc 30 jours supplémentaires pour tester et déployer le correctif à grande échelle avant que les informations sur comment exploiter la faille ne soient divulguées et ne tombent entre les mains des hackers et des cybercriminels.

Seule exception à la règle, les failles « Zero Day » déjà exploitées par des attaquants. Pour les vulnérabilités largement exploitées « in the wild » et découvertes par les chercheurs de Project Zero, l’entité de Google n’accorde que 7 jours à l’éditeur avant de publier les détails de cette faille. Dans un tel contexte, la faille est déjà probablement connue de plusieurs cybercriminels et il est urgent d’en dévoiler les détails pour que les éditeurs de produits de sécurité soient en mesure de déployer une protection le temps que l’éditeur puisse la patcher.