Google lance aujourd'hui son initiative Project Zero, dont la mission est de trouver les failles de type 0-day, c'est-à-dire déjà exploitées quand elles sont découvertes. L’équipe constituée pour l'occasion comprend des pointures dans le domaine du hacking, et Google espère bien que la sécurité globale des produits utilisés par les internautes s’en trouvera renforcée.
Trouver des failles avant qu'elles ne soient exploitées
Les failles 0-day sont une activité commerciale presque comme une autre. Certains individus ou groupes sont chargés de les trouver pour les corriger, d’autres pour les exploiter. Parmi ces derniers, il y a évidemment les pirates, mais également la NSA (National Security Agency) et plus globalement l’ensemble des agences de sécurité et de renseignement. Ces failles peuvent se trouver dans n’importe quel code, qu’il s’agisse d’un logiciel classique, d’une application mobile, d’un composant web, d’un service en ligne et ainsi de suite.
Google a donc décidé de réunir une équipe dédiée à la recherche de ces failles pour qu’elles soient corrigées avant de pouvoir être exploitées : c’est le Project Zero. La firme de Mountain View annonce avoir embauché quelques-uns des meilleurs experts en sécurité dont Ben Hawkes, qui a un long historique de recherche de failles, notamment dans Flash, Georges Hotz, alias GeoHot qu’on ne présente plus, ainsi que Tavis Ormandy, travaillant déjà chez Google sur les questions de sécurité.
Une traque pour tous les logiciels et services
Le Project Zero n’a pas pour vocation de chercher les failles dans les seuls services de Google. Chris Evans, qui dirigera l’équipe, indique qu’elle sera libre de s’orienter vers certains produits en fonction de ses propres critères. Les chercheurs sont donc raisonnablement libres mais ils devraient tout de même se rapprocher des produits les plus utilisés. Il y a donc fort à parier que les prochains bulletins de sécurité de Microsoft devraient comporter quelques remerciements à cette équipe, comme ce fut d’ailleurs déjà le cas (et réciproquement).
L’ensemble du projet se veut assez large. L’objectif principal est de trouver des failles et donc d’avertir les éditeurs concernés (et à eux seuls), mais pas seulement. Les chercheurs vont également examiner les méthodes utilisées pour les attaques ainsi que chercher de nouvelles manières de s’en protéger. Google espère en retirer de précieux renseignements pour la construction des futurs produits ou le renforcement de protections existantes.
Google continue de recruter
Cela étant, Evans précise qu’il ne s’agit que du lancement de l’initiative et que la firme recrute activement. Toutes les failles qui seront trouvées dans le futur seront cependant stockées dans une base distincte, mais les détails n’y seront évidemment pas mentionnés. Plus l’équipe grandira, plus la base devrait donc rapidement se remplir.
Il ne reste finalement plus qu’à observer le fonctionnement de cette nouvelle équipe pour vérifier au cours des prochains mois si elle tient ses promesses. Il est évident dans tous les cas que cette initiative ne peut avoir que des répercussions positives sur la sécurité en général, tout du moins tant que Google transmet aussi rapidement que possible et de manière transparente les détails aux différents éditeurs.
