L’initiative Project Zero de Google est très claire : une fois l’éditeur prévenu d’une faille de type 0-day, il a 90 jours pour publier le correctif avant que les détails ne soient révélés. Mais la firme vient d’assouplir cette règle, après plusieurs frictions engendrées par des failles dans des produits Microsoft et Apple.
Un calendrier aveugle qui a provoqué des frictions
Le mois dernier, la tension est montée d’un cran entre Google et Microsoft. En cause, les détails d’une faille révélée par l’équipe de sécurité de Mountain View. Touchant Windows, elle avait fait l’objet d’un avertissement à Microsoft, qui avait accusé réception des informations et commencé à travailler sur un correctif. Problème, deux jours avant la publication de ce dernier, Google était arrivé à la fin du chronomètre et avait quand même publié les détails, provoquant la colère de Microsoft. Apple avait de son côté été concerné par ce type de souci deux semaines plus tard.
La question se posait alors de savoir si la politique de tolérance zéro était réellement la bonne solution. Pour Google, qui revient sur la situation dans un tout récent billet, il s’agit d’une frontière fixée et parfaitement publique, apte à faire comprendre aux éditeurs que les brèches doivent être corrigées au plus vite. Les 90 jours eux-mêmes se trouvent pour la firme à mi-chemin entre les 45 jours du CERT et les 120 jours de la Zero Day Initiative. L’objectif est toujours le même : prévenir les utilisateurs.
Mais des critiques s’étaient élevées pour dénoncer d’une part le manque de souplesse, surtout quand il s’agit de publier des informations deux jours avant la publication du correctif, et d’autre part le manque de bénéfice pour les utilisateurs. Ces derniers ne se tiennent pas en effet, pour l’immense majorité d’entre eux, au courant de ce type d’information. En outre, que faire une fois la situation connue ? C’était précisément le reproche adressé par Microsoft, pour qui la révélation brutale des informations, sans donner la moindre piste de mesure à prendre, n’avait guère d’intérêt.
Google assouplit sa politique avec des règles « évidentes »
Et voilà qu’environ un mois plus tard, Google annonce avoir réfléchi à la situation et mis en place quelques assouplissements. La mesure la plus importante est l’ajout d’un délai de grâce de 14 jours : si l’éditeur touché par la faille dispose d’un correctif qui doit être publié dans les deux semaines suivant la fin des 90 jours, Google repoussera la publication des informations. Il s’agit, « coïncidence », d’une décision qui aurait empêché la friction initiale avec Microsoft.
Deuxième décision : la publication des informations ne pourra se faire durant les week-ends et les jours fériés (américains). Encore une fois, cet assouplissement concerne directement le débat initial puisque Google avait publié les informations un dimanche. Enfin, pour les publications qui se feront au-delà de la date normalement prévue, un bulletin CVE (pour l’identification unique de la faille) sera pré-assigné pour éviter les risques de confusion.
Google n’aborde pas le cas de Microsoft, ou même celui d’Apple, mais il est évident que les entreprises ont discuté de la situation et sont arrivées sur ces consensus, qui ont d’ailleurs un furieux air de « tomber sous le sens ». Pour le reste, le fonctionnement du Project Zero restera le même, Google pouvant repousser les dates prévues dans des « cas extrêmes ». Plus globalement, cette frontière pourra bouger dans les deux sens, selon des conditions particulières, comme l’attitude de l’éditeur concerné. La firme assure dans tous les cas que toutes les entreprises sont et resteront traitées sur un pied d’égalité, y compris elle-même… ce qui est difficile à démontrer.