L’initiative Project Zero de Google est très claire : une fois l’éditeur prévenu d’une faille de type 0-day, il a 90 jours pour publier le correctif avant que les détails ne soient révélés. Mais la firme vient d’assouplir cette règle, après plusieurs frictions engendrées par des failles dans des produits Microsoft et Apple.
Un calendrier aveugle qui a provoqué des frictions
Le mois dernier, la tension est montée d’un cran entre Google et Microsoft. En cause, les détails d’une faille révélée par l’équipe de sécurité de Mountain View. Touchant Windows, elle avait fait l’objet d’un avertissement à Microsoft, qui avait accusé réception des informations et commencé à travailler sur un correctif. Problème, deux jours avant la publication de ce dernier, Google était arrivé à la fin du chronomètre et avait quand même publié les détails, provoquant la colère de Microsoft. Apple avait de son côté été concerné par ce type de souci deux semaines plus tard.
La question se posait alors de savoir si la politique de tolérance zéro était réellement la bonne solution. Pour Google, qui revient sur la situation dans un tout récent billet, il s’agit d’une frontière fixée et parfaitement publique, apte à faire comprendre aux éditeurs que les brèches doivent être corrigées au plus vite. Les 90 jours eux-mêmes se trouvent pour la firme à mi-chemin entre les 45 jours du CERT et les 120 jours de la Zero Day Initiative. L’objectif est toujours le même : prévenir les utilisateurs.
Mais des critiques s’étaient élevées pour dénoncer d’une part le manque de souplesse, surtout quand il s’agit de publier des informations deux jours avant la publication du correctif, et d’autre part le manque de bénéfice pour les utilisateurs. Ces derniers ne se tiennent pas en effet, pour l’immense majorité d’entre eux, au courant de ce type d’information. En outre, que faire une fois la situation connue ? C’était précisément le reproche adressé par Microsoft, pour qui la révélation brutale des informations, sans donner la moindre piste de mesure à prendre, n’avait guère d’intérêt.
Google assouplit sa politique avec des règles « évidentes »
Et voilà qu’environ un mois plus tard, Google annonce avoir réfléchi à la situation et mis en place quelques assouplissements. La mesure la plus importante est l’ajout d’un délai de grâce de 14 jours : si l’éditeur touché par la faille dispose d’un correctif qui doit être publié dans les deux semaines suivant la fin des 90 jours, Google repoussera la publication des informations. Il s’agit, « coïncidence », d’une décision qui aurait empêché la friction initiale avec Microsoft.
Deuxième décision : la publication des informations ne pourra se faire durant les week-ends et les jours fériés (américains). Encore une fois, cet assouplissement concerne directement le débat initial puisque Google avait publié les informations un dimanche. Enfin, pour les publications qui se feront au-delà de la date normalement prévue, un bulletin CVE (pour l’identification unique de la faille) sera pré-assigné pour éviter les risques de confusion.
Google n’aborde pas le cas de Microsoft, ou même celui d’Apple, mais il est évident que les entreprises ont discuté de la situation et sont arrivées sur ces consensus, qui ont d’ailleurs un furieux air de « tomber sous le sens ». Pour le reste, le fonctionnement du Project Zero restera le même, Google pouvant repousser les dates prévues dans des « cas extrêmes ». Plus globalement, cette frontière pourra bouger dans les deux sens, selon des conditions particulières, comme l’attitude de l’éditeur concerné. La firme assure dans tous les cas que toutes les entreprises sont et resteront traitées sur un pied d’égalité, y compris elle-même… ce qui est difficile à démontrer.
Commentaires (79)
#1
Qu’est ce qu’il se passe Google ? Vous avez un peu de caca sur vous et il fallait l’enlever ?
" />
#2
L’objectif est toujours le même : prévenir les utilisateurs.
En même temps:
99,999% des utilisateurs s’en tapent et n’y comprennent rien
50% des hackers mal-attentionnés sont potentiellement intéressés
Et une fois publié, potentiellement tous les utilisateurs ont une chance de plus d’être attaqués, sans pour autant pouvoir riposter.
#3
Tout le résumé de l’absurde de la situation est là :
“il s’agit d’une frontière fixée et parfaitement publique, apte à faire comprendre aux éditeurs que les brèches doivent être corrigées au plus vite. Les 90 jours eux-mêmes se trouvent pour la firme à mi-chemin entre les 45 jours du CERT et les 120 jours de la Zero Day Initiative.”
Et puis le “apte à faire comprendre aux éditeurs”, ça c’est trop fort. Tant qu’à faire, la prochaine fois autant envoyer leur propres ingénieurs faire le travail à la place des autres vu que ça prend tant de temps.
Don’t be evil
#4
En outre, que faire une fois la situation connue ?
C’est précisément la question qui me tracassait le plus.
Google est bien gentil de vouloir forcer les éditeurs à se bouger le cul pour sortir des patchs plus vite, mais jusqu’à présent, quand une vulnérabilité était publiée j’ai jamais vu en quoi c’était bon pour l’utilisateur :S
#5
La majorité du temps, c’est juste de la com’ pour taper sur la concurrence, rien de plus malheureusement.
#6
Par ce qu’il peut essayer d’appliquer une solution de contournement en attendant ? Par ce qu’il peut espérer être protéger à plus ou moins court terme des gens qui connaissaient la faille mais ne l’avaient pas publiée ?
#7
#8
Source ?
Finalement tu ajoutes quelques conditions, c’est un peu mieux que la version générique “publié une faille c’est le mal”. En attendant la non publication n’est absolument pas une forme de protection.
#9
Parce que évidemment les entreprises ne sont jamais inquiétées par les hackers ?
#10
on parle de faille 0-day, donc de failles qui sont de toute façon déjà exploitées. les rendre publiques (ou menacer de les rendre publiques ) n’a pour conséquence que de faire réagir l’éditeur, ce qui est bénéfique pour le consommateur sur le long terme.
#11
#12
#13
#14
Et parmis ces 0.01% des utilisateurs il y a 90% des DSI des boites “ciblés par les hacker” qui aimentaient bien être mis au jus des risques qu’ils encourrent :
" />
Exemple :
http://www.zdnet.com/article/microsoft-knew-of-ie-zero-day-flaw-since-last-septe…
Faille exploitée pour hacker de nombreuses boites, dont -entre autres- Google justement
#15
#16
#17
#18
#19
#20
La politique de Google, c’est d’abord de prévenir l’éditeur que cette
faille existe (mais sans la rendre publique). Sur ce point je ne vois
pas trop ce qu’il y a à reprocher. La course contre la montre commence :
la faille est connue, ça veut dire qu’elle peut être exploitée par des
hackers, il est donc urgent de patcher.
Donc au bout de 90 jours, tu trouves normal que Google balance publiquement la vulnérabilité, le PoC pour la tester (dont potentiellement un outil pour exploiter cette faille) sans donner aucunes mesures de sécurité, ni aucun conseil permettant de limiter son exploitation ?
Ensuite, “la faille est connue, ça veut dire qu’elle peut être exploitée par des hackers”.
La faille est connue de Google et l’éditeur uniquement. Rien ne prouve qu’elle ait déjà été exploitée, ni qu’elle soit même connue des hackers.
Donc la solution de publier la vulnérabilité, avec un PoC, sans donner la moindre recommandation pour se protéger et se laver les mains de toute responsabilité, ce n’est pas correct.
#21
90 jours c’est pas mal, avec les nouvelles dispositions ça semble fort raisonnable. C’est justement par ce qu’il n’est pas possible de savoir qui connaît le problème qu’il est urgent d’agir.
#22
#23
si, elle l’a corrigé : passer à la version supérieure. Tu peux maintenant appeller ton OEM ( qui a toutes les infos nécessaire) qui est responsable de cette mise à jour
#24
J’ai l’impression qu’on parle pas de la même chose. Je reproche pas à Google de publier les vulnérabilités au bout de 90 jours (bien que je trouve abuser le coup de : on la publie un dimanche 2 jour avant la publication d’un patch).
Je trouve que c’est abusé de publier la vulnérabilité, avec un outil permettant de l’exploiter, sans donner aucune recommandation permettant de limiter les dégâts.
#25
Non la faille n’est pas corrigé, ils ont juste remplacé la techno dans la version suivante.
Mais sur cette histoire Google est très bête. Corriger la faille ne leur couterait presque rien, et après ils ont juste à rebalancer la responsabilité sur les OEM en disant que le reste ne dépend que d’eux.
#26
HS
Note pour plus tard:
“penser à écrire un launcher qui affiche un rapport des vulnérabilités connues et non patchées sur un logiciel au moment de son lancement.”
Exemple: securestart /CERT /ZDI firefox.exe
/HS
#27
Et en ‘bidouillant le script’ tu vas réussir à l’exploiter dans des cas où il n’est pas possible de le faire ?
#28
En fait tu ne parles pas du cas de la news ?
#29
Non, mais entre connaître l’existence d’une vulnérabilité et trouver le moyen de l’exploiter, il y a une différence !
Donner les deux aux attaquants sans donner de conseils aux défenseurs, c’est pas très logique quand on se dit du côté des utilisateurs
#30
Hein ? Non.
J’ai jamais évoqué le moindre cas particulier dans mes commentaires.
Je commentais juste une remarque soulevée par MS et reprise par Vincent : “Une fois que Google a publié la faille, qu’est ce qui se passe ?”
#31
#32
#33
Au moins ils sont au courant et pourront espérer trouver une solution, ça me semble bien préférable à avoir le problème sans le savoir.
#34
Je suis pas sûr qu’espérer que l’éditeur trouve une solution avant les hackeurs, sans rien pouvoir y faire, soit une situation très confortable ^^”
Ce serait un peu comme faire un audit de sécurité, et de ne proposer aucunes recommandations pour les vulnérabilités détectées, et de dire : voilà maintenant démerdez vous.
#35
Depuis qu’ils ont frôlé la faillite et réduit l’équipe à deux personnes il est très difficile pour MS d’assurer la maintenance des produits non obsolètes qu’ils ont vendus.
#36
C’est sur que si tu parts du principe que sans l’éditeur tu ne peux rien faire, c’est perdu d’avance.
#37
Tu as déjà vu comment fonctionnait un grand groupe ? À lire, tes réflexions, tu parles de MS comme si c’était une PME et que Windows était utilisé par un millier de personnes.
#38
Vas expliquer ça aux boites qui se sont fait hacker à cause de cette faille : http://www.zdnet.com/article/microsoft-knew-of-ie-zero-day-flaw-since-last-septe…
#39
Il y a des problèmes qui n’ont pas forcément de solution super pratique.
Une vulnérabilité dans Flash, tu fais quoi en attendant le patch ?
Tu demandes à tous tes employés de ne pas utiliser Flash ? Tu fais désactiver Flash de force sur tous les postes ?
Une vulnérabilité dans le kernel windows : tu fais quoi en attendant le patch ?
Une vulnérabilité dans le firmware des routeurs ? Je suis pas sûr qu’interdire les flux vers ces routeurs soit très malin.
#40
Tout dépend des cas, il n’y a pas de réponse génériques aux cas que tu présentes, mais ça ne veux pas dire qu’il n’y a pas de réponse au cas par cas, parfois tu ne peux rien faire à part regretter d’avoir choisi la solution qui pose un problème.
#41
#42
Mais punaise il y a des gens qui le font exprès ici ou quoi ?
" />
Il à été dit et répéter plusieurs fois que si cette faille n’avait pas été corrigé sous les 90 jours c’est que suite aux passage en test elle a généré des bug sous jacent (comme la KB3013455 par exemple …. qui m’a valu un nombre incalculable d’appel et de temps de perdu avant d’en trouver l’origine. explication ici :
http://windowsitpro.com/msrc/patch-tuesday-font-corruption-kb3013455 ). La où je rejoins c’est si Microsoft avais dit : “Rien a foutre de cette faille on la patchera quand on aura envie” là évidemment vous auriez pu tirer à boulet rouge. Mais là on parle bien de la mise en ligne des infos d’exploitation de la faille 2 jours avant la descente du correctif et qui plus est un Dimanche … Sérieux le mec de chez Google qui à valider la publication est un sombre imbécile ou son chef de service ou encore au dessus !
#43
#44
Les gens ici qui critiquent Google et qui ne trouvent pas ça choquant de prendre plus de 3 mois pour combler une faille critique … Je sais pas trop comment vous avez appris à dev mais quand y’a une faille majeur, on arrête de dev qu’on fait et on met toute la team dessus … Sinon vous méritez qu’on publie vos bugs et qu’on vous chie dans la bouche. Je vois pas d’autres alternatives perso …
#45
Si t’as pas assez de temps pour combler une faille majeure sans mettre le souk dans la merde qui leur sert de code, ils ont qu’à embaucher. Il parait qu’ils ont fait de bons bénéfices dernièrement, ça leur ferait un poste d’investissement …
#46
#47
#48
#49
Eh bien, faut croire que même Google n’est pas d’accord avec toi, puisqu’ils préfèrent lâcher du lest.
" />
De plus, 9 femmes ne font pas un bébé en 1 mois
#50
Il marche très bien avec d’autres polices. Le bug était connu lors de la publication du patch mais il semble qu’il touche finalement un peu plus de plate-forme que prévu. Je ne pense pas qu’il ait été intégré volontairement, je pense que certains ont droit à plus de qualité que d’autre.
After you install security update 3013455, you may notice some text quality degradation in certain scenarios. ….
Euphémisme++
#51
Tout à fait, c’est bien pour ça que nous avons toujours des CPU monocore.
#52
Ahhh mince, c’est vrai que l’accouchement c’est multitâche
" />
Plus sérieusement, si mettre toute une team de validation sur un sujet ne va faire gagner que quelques heures… Oh pardon, faire gagner 2 jours…
#53
#54
Ce n’est pas de ma faute si tu as choisis de comparer du travail en équipe à une tâche qui ne peut être répartie.
" />
#55
Ils rajoutent 14 jours … Ca ne changera rien à la plupart des problèmes rencontrés à cause de la règle des 90 jours … LOL
@thbbth on peut passer la nuit à faire des métaphores débiles, ça n’apportera rien au sujet. La vrai question aurait été de savoir s’il était préférable d’introduire un bug de fonctonnement en comblant la faille de sécu ou de laisser la faille tout simplement. Par contre on a souvent prouvé dans l’Histoire que 9 cerveaux trouvaient plus de solutions qu’un seul en moyenne … Voilà comme ça je continue dans les métaphores idiotes vu que c’est un peu ta tasse de thé on dirait :p
#56
90 jours, 1 ans, ou même 10 ans, google n’a tout simplement pas a rendre une faille publique !
Le simple fait que l’on puisse penser qu’il est normale que cette entreprise s’arroge ce droit me révolte profondément.
Surtout que google est mal placé pour utiliser cette méthode de publicité écœurante.
#57
La sécurité par l’obscurité n’est qu’une illusion. Elle n’existe tout simplement pas. Que toi tu ne saches pas qu’une faille existe sur un logiciel que tu utilises n’empêche pas cette faille d’être exploitée par des gens malintentionnés. Dévoiler publiquement les failles des softs permettra en revanche une prise de conscience de la part des développeurs/éditeurs pour que la sécurité devienne enfin (!) une priorité dans la conception de logiciels. Ca pourra d’ailleurs permettre de faire le tri entre ceux qui font du marketing et ceux qui agissent dans ce sens. Sans même parler du fait qu’au moins les utilisateurs peuvent être informé et arrêter d’utiliser, ne serait-ce que momentanément, les solutions trouées sans risque de compromettre plus de données personnelles.
La lumière est toujours préférable à l’obscurité en terme de sécurité !
#58
#59
#60
#61
#62
#63
#64
#65
#66
#67
#68
Merci
" />
Il y en a beaucoup ici qui ne comprennent pas ça.
#69
#70
Je pense que ces “90 jours” ont été étudiés. Preuve en est, la majorité des correctifs sortent dans ce laps de temps.
#71
#72
Google devrait leur laisser 12 mois
Comme ça tout le monde sera content.
#73
Et ça donnera aux utilisateurs une bonne raisons de racheter un PC avec un OS tout neuf.
#74
Ca existe dejà cette politique. Ca s’appelle Android
" />
#75
Tu pourrais rendre hommage aux véritables créateurs de ce modèle.
" />
#76
#77
Au passage, si on a un chouilla d’honnêteté intellectuelle, c’est même exactement le contraire du Modèle Android … tous les correctifs sont montrés au grand jours, les failles sont annoncés, dans les temps, le souci c’est les constructeurs qui ne font pas l’effort … Et encore une fois ce “modèle” devrait pousser l’utilisateur a se plaindre au constructeur … et à la place ? tout le monde fout ça sur le dos de Google 
" />
#78