Le Project Zero de Google est désormais plus attentif à la façon dont il révèle les failles de sécurité

L'équipe de cybersécurité Project Zero de Google teste une nouvelle stratégie qui ne rendra pas publiques les failles de sécurité dès la publication d'un correctif. "90 jours complets par défaut, quel que soit le moment où le bogue est corrigé", est la nouvelle politique de l'équipe, qu'elle testera pendant un an avant de décider de l'adopter définitivement.

Dans l'ancien système, les chercheurs de Project Zero accordaient aux fournisseurs 90 jours pour résoudre un problème avant de le rendre public. Cependant, si un correctif était publié dans cette fenêtre de 90 jours, il divulguerait la vulnérabilité tôt. Cela peut être un problème, car cela signifie que les utilisateurs doivent se précipiter pour corriger une vulnérabilité avant que les pirates puissent l'exploiter. Une vulnérabilité peut être corrigée par l'entreprise, mais cela n'a pas d'importance si le correctif n'a pas été largement adopté.

Alors maintenant, peu importe si un correctif est émis 20 jours ou 90 jours après que Project Zero a informé un fournisseur du problème, il attendra toujours 90 jours pour rendre le problème public. Il existe cependant quelques exceptions. L'une est lorsqu'il y a «accord mutuel» entre les deux sociétés pour divulguer tôt, et Project Zero peut également prolonger le délai de 14 jours s'il faut plus de temps à un fournisseur pour assembler un correctif. Le délai de sept jours pour les vulnérabilités qui sont exploitées dans la nature restera inchangé.

En plus de donner plus de temps aux correctifs pour être adoptés, Project Zero dit qu'il espère que la nouvelle politique améliorera la cohérence, donnant aux fournisseurs une meilleure idée du moment où une vulnérabilité sera rendue publique. Il indique également qu'il est impatient de voir plus de correctifs itératifs et approfondis, grâce au temps dont les fournisseurs disposeront désormais entre un correctif initialement publié et la vulnérabilité qu'il corrige sera rendue publique.

Malgré les changements, l'équipe de Project Zero se dit globalement satisfaite du fonctionnement de sa période de divulgation jusqu'à présent. En 2014, lorsque l'équipe a commencé son travail, elle indique que les bugs n'étaient parfois pas corrigés six mois après avoir été découverts. Maintenant, parmi les problèmes identifiés (parmi lesquels il y en a eu beaucoup), il indique que 97,7% sont corrigés dans sa fenêtre de 90 jours.

Traduit de la source : https://www.theverge.com/2020/1/8/21056476/google-project-zero-90-day-disclosure-policy-vulnerability-early-cybersecurity

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.