Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Le Project Zero de Google devra trouver les failles 0-day avant les autres

Plus rapide que la NSA
Logiciel 3 min
Le Project Zero de Google devra trouver les failles 0-day avant les autres
Crédits : maxkabakov/iStock/Thinkstock

Google lance aujourd'hui son initiative Project Zero, dont la mission est de trouver les failles de type 0-day, c'est-à-dire déjà exploitées quand elles sont découvertes. L’équipe constituée pour l'occasion comprend des pointures dans le domaine du hacking, et Google espère bien que la sécurité globale des produits utilisés par les internautes s’en trouvera renforcée.

Pirate Mot de passe Sécurité
Crédits : Hlib Shabashnyi/iStock/thinkstock

Trouver des failles avant qu'elles ne soient exploitées 

Les failles 0-day sont une activité commerciale presque comme une autre. Certains individus ou groupes sont chargés de les trouver pour les corriger, d’autres pour les exploiter. Parmi ces derniers, il y a évidemment les pirates, mais également la NSA (National Security Agency) et plus globalement l’ensemble des agences de sécurité et de renseignement. Ces failles peuvent se trouver dans n’importe quel code, qu’il s’agisse d’un logiciel classique, d’une application mobile, d’un composant web, d’un service en ligne et ainsi de suite.

 

Google a donc décidé de réunir une équipe dédiée à la recherche de ces failles pour qu’elles soient corrigées avant de pouvoir être exploitées : c’est le Project Zero. La firme de Mountain View annonce avoir embauché quelques-uns des meilleurs experts en sécurité dont Ben Hawkes, qui a un long historique de recherche de failles, notamment dans Flash, Georges Hotz, alias GeoHot qu’on ne présente plus, ainsi que Tavis Ormandy, travaillant déjà chez Google sur les questions de sécurité.

Une traque pour tous les logiciels et services 

Le Project Zero n’a pas pour vocation de chercher les failles dans les seuls services de Google. Chris Evans, qui dirigera l’équipe, indique qu’elle sera libre de s’orienter vers certains produits en fonction de ses propres critères. Les chercheurs sont donc raisonnablement libres mais ils devraient tout de même se rapprocher des produits les plus utilisés. Il y a donc fort à parier que les prochains bulletins de sécurité de Microsoft devraient comporter quelques remerciements à cette équipe, comme ce fut d’ailleurs déjà le cas (et réciproquement).

 

L’ensemble du projet se veut assez large. L’objectif principal est de trouver des failles et donc d’avertir les éditeurs concernés (et à eux seuls), mais pas seulement. Les chercheurs vont également examiner les méthodes utilisées pour les attaques ainsi que chercher de nouvelles manières de s’en protéger. Google espère en retirer de précieux renseignements pour la construction des futurs produits ou le renforcement de protections existantes.

Google continue de recruter 

Cela étant, Evans précise qu’il ne s’agit que du lancement de l’initiative et que la firme recrute activement. Toutes les failles qui seront trouvées dans le futur seront cependant stockées dans une base distincte, mais les détails n’y seront évidemment pas mentionnés. Plus l’équipe grandira, plus la base devrait donc rapidement se remplir.

 

Il ne reste finalement plus qu’à observer le fonctionnement de cette nouvelle équipe pour vérifier au cours des prochains mois si elle tient ses promesses. Il est évident dans tous les cas que cette initiative ne peut avoir que des répercussions positives sur la sécurité en général, tout du moins tant que Google transmet aussi rapidement que possible et de manière transparente les détails aux différents éditeurs.

36 commentaires
Avatar de killer63 INpactien
Avatar de killer63killer63- 16/07/14 à 16:50:35

être payé pour chercher les failles de sécurité dans les sites

good job :fumer:

Avatar de HarmattanBlow INpactien
Avatar de HarmattanBlowHarmattanBlow- 16/07/14 à 17:12:00

Ils ne seront ni les premiers ni les derniers à faire ça. Et après des décennies de recherche ça ne fonctionne toujours pas correctement.

On sait tous que la sécurité de nos ordinateurs est minable mais, surtout, ne changeons rien à la façon dont nous développons. Les rustines ne fonctionnent pas, alors mettons-en davantage. Continuons à croire qu'il suffit de rendre un truc open-source, de faire un audit ou de passer deux-trois analyses statiques. Ou d'utiliser agile, ou du peer programming, ou d'aligner des post-its en colonne. Continuons à croire que le moindre serveur n'est pas bourré de failles.

Pendant ce temps quelques uns s'efforcent de concevoir une informatique fondée sur des langages qui produisent des programmes dont de nombreux aspects sont prouvables : isolation mémoire, modèles déclaratifs pour le traitement des entrées (moins de risques de bogues et prouvables comme n'étant pas Turing complets), concurrence vérifiable, etc.

Édité par HarmattanBlow le 16/07/2014 à 17:16
Avatar de TheRealBix Abonné
Avatar de TheRealBixTheRealBix- 16/07/14 à 17:22:22

Chris Evans Captain America, qui dirigera l’équipe, indique qu’elle sera libre de s’orienter vers certains produits en fonction de ses propres critères.

En fait, cette équipe, c'est le SHIELD hein ? :D

Avatar de Pazns Abonné
Avatar de PaznsPazns- 16/07/14 à 17:30:30

TheRealBix a écrit :

En fait, cette équipe, c'est le SHIELD hein ? :D

Un SHIELD dirigé par Google, j’appellerais ça plutôt un dessous de plat design un peu trop cher :D

HarmattanBlow a écrit :

Ils ne seront ni les premiers ni les derniers à faire ça. Et après des décennies de recherche ça ne fonctionne toujours pas correctement.

On sait tous que la sécurité de nos ordinateurs est minable mais, surtout, ne changeons rien à la façon dont nous développons. Les rustines ne fonctionnent pas, alors mettons-en davantage. Continuons à croire qu'il suffit de rendre un truc open-source, de faire un audit ou de passer deux-trois analyses statiques. Ou d'utiliser agile, ou du peer programming, ou d'aligner des post-its en colonne. Continuons à croire que le moindre serveur n'est pas bourré de failles.

Pendant ce temps quelques uns s'efforcent de concevoir une informatique fondée sur des langages qui produisent des programmes dont de nombreux aspects sont prouvables : isolation mémoire, modèles déclaratifs pour le traitement des entrées (moins de risques de bogues et prouvables comme n'étant pas Turing complets), concurrence vérifiable, etc.

Tout à fait.
Et comme aurait dit Dijkstra :
« À propos des langages : il est impossible de tailler un crayon avec une hache émoussée. Il est vain d'essayer, à la place, de le faire avec dix haches émoussées. »

Il n'y a qu'à espérer que cette base de données de failles 0-day sera effectivement utilisée à bon escient.
Je ne peux m'empêcher de penser qu'elle servira d'abord des choses moins humanistes en premier.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/07/14 à 18:19:30

Plus rapide que la NSA

La NSA ne cherche par les failles. Elle les ajoute. :D

Avatar de Zef Abonné
Avatar de ZefZef- 16/07/14 à 18:20:03

Je croyais que le principe d'une faille 0-day c'était justement qu'elle était exploitée au moment de sa découverte par l'éditeur responsable.
Si Google ne compte pas les exploitées et qu'il compte les trouver avant les autres alors est-ce qu'on peut parler de failles 0-day ?

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 16/07/14 à 18:24:56

Zef a écrit :

Je croyais que le principe d'une faille 0-day c'était justement qu'elle était exploitée au moment de sa découverte par l'éditeur responsable.
Si Google ne compte pas les exploitées et qu'il compte les trouver avant les autres alors est-ce qu'on peut parler de failles 0-day ?

Ah mince grillé de justesse :transpi:

J'avais la même définition pour le 0-day, c'est déjà exploité quand c'est divulgué... Donc là Google cherche des failles -1-day :eeek2:

Bientôt Google IDE pourra nous avertir qu'on est en train de coder un truc pas secure :8

Avatar de Pazns Abonné
Avatar de PaznsPazns- 16/07/14 à 18:45:54

Zef a écrit :

Je croyais que le principe d'une faille 0-day c'était justement qu'elle était exploitée au moment de sa découverte par l'éditeur responsable.
Si Google ne compte pas les exploitées et qu'il compte les trouver avant les autres alors est-ce qu'on peut parler de failles 0-day ?

Jarodd a écrit :

J'avais la même définition pour le 0-day, c'est déjà exploité quand c'est divulgué...

Mais qui a dit que Google publiera des failles non exploitées après qu'il les ait trouvées :non: ?

Édité par Pazns le 16/07/2014 à 18:46
Avatar de kosumo INpactien
Avatar de kosumokosumo- 16/07/14 à 18:56:08

Ouais mais parler de faille 0-day c'est coooooooool

Avatar de Lafisk INpactien
Avatar de LafiskLafisk- 16/07/14 à 19:11:00

HarmattanBlow a écrit :

...

De toute facon, c'est pas en creant des technos puis en y ajoutant 50 surcouches pour faire tel ou tel trucs qu'on va augmenter la securite, au contraire.

Je vise les technos web generalement, mais ca vaut aussi bien pour tout plein d'autre technos reseau et j'en passe.

Tout ce qui touche au javascript et compagnie est un merdier sans nom par exemple niveau securite ... le nombre de donnees qui passe aussi en clair souvent dans les requites html etc ... c'est juste d'une debilite ...

le web est une calamite sans nom ... mais bon, le 100% securise n'existe pas mais on est loin d'avir creer des technos securisee au maximum non plus ...

Il n'est plus possible de commenter cette actualité.
Page 1 / 4