Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Failles 0-day : Google assouplit son Project Zero pour éviter les frictions

Sans doute l'effet du week-end de la Saint-Valentin
Internet 3 min
Failles 0-day : Google assouplit son Project Zero pour éviter les frictions
Crédits : iStock/ThinkStock

L’initiative Project Zero de Google est très claire : une fois l’éditeur prévenu d’une faille de type 0-day, il a 90 jours pour publier le correctif avant que les détails ne soient révélés. Mais la firme vient d’assouplir cette règle, après plusieurs frictions engendrées par des failles dans des produits Microsoft et Apple.

Un calendrier aveugle qui a provoqué des frictions

Le mois dernier, la tension est montée d’un cran entre Google et Microsoft. En cause, les détails d’une faille révélée par l’équipe de sécurité de Mountain View. Touchant Windows, elle avait fait l’objet d’un avertissement à Microsoft, qui avait accusé réception des informations et commencé à travailler sur un correctif. Problème, deux jours avant la publication de ce dernier, Google était arrivé à la fin du chronomètre et avait quand même publié les détails, provoquant la colère de Microsoft. Apple avait de son côté été concerné par ce type de souci deux semaines plus tard.

La question se posait alors de savoir si la politique de tolérance zéro était réellement la bonne solution. Pour Google, qui revient sur la situation dans un tout récent billet, il s’agit d’une frontière fixée et parfaitement publique, apte à faire comprendre aux éditeurs que les brèches doivent être corrigées au plus vite. Les 90 jours eux-mêmes se trouvent pour la firme à mi-chemin entre les 45 jours du CERT et les 120 jours de la Zero Day Initiative. L’objectif est toujours le même : prévenir les utilisateurs.

Mais des critiques s’étaient élevées pour dénoncer d’une part le manque de souplesse, surtout quand il s’agit de publier des informations deux jours avant la publication du correctif, et d’autre part le manque de bénéfice pour les utilisateurs. Ces derniers ne se tiennent pas en effet, pour l’immense majorité d’entre eux, au courant de ce type d’information. En outre, que faire une fois la situation connue ? C’était précisément le reproche adressé par Microsoft, pour qui la révélation brutale des informations, sans donner la moindre piste de mesure à prendre, n’avait guère d’intérêt.

Google assouplit sa politique avec des règles « évidentes »

Et voilà qu’environ un mois plus tard, Google annonce avoir réfléchi à la situation et mis en place quelques assouplissements. La mesure la plus importante est l’ajout d’un délai de grâce de 14 jours : si l’éditeur touché par la faille dispose d’un correctif qui doit être publié dans les deux semaines suivant la fin des 90 jours, Google repoussera la publication des informations. Il s’agit, « coïncidence »,  d’une décision qui aurait empêché la friction initiale avec Microsoft.

Deuxième décision : la publication des informations ne pourra se faire durant les week-ends et les jours fériés (américains). Encore une fois, cet assouplissement concerne directement le débat initial puisque Google avait publié les informations un dimanche. Enfin, pour les publications qui se feront au-delà de la date normalement prévue, un bulletin CVE (pour l’identification unique de la faille) sera pré-assigné pour éviter les risques de confusion.

Google n’aborde pas le cas de Microsoft, ou même celui d’Apple, mais il est évident que les entreprises ont discuté de la situation et sont arrivées sur ces consensus, qui ont d’ailleurs un furieux air de « tomber sous le sens ». Pour le reste, le fonctionnement du Project Zero restera le même, Google pouvant repousser les dates prévues dans des « cas extrêmes ». Plus globalement, cette frontière pourra bouger dans les deux sens, selon des conditions particulières, comme l’attitude de l’éditeur concerné. La firme assure dans tous les cas que toutes les entreprises sont et resteront traitées sur un pied d’égalité, y compris elle-même… ce qui est difficile à démontrer.

79 commentaires
Avatar de shadowfox INpactien
Avatar de shadowfoxshadowfox- 16/02/15 à 11:01:48

Qu'est ce qu'il se passe Google ? Vous avez un peu de caca sur vous et il fallait l'enlever ? :D

Avatar de jinge INpactien
Avatar de jingejinge- 16/02/15 à 11:16:29

L’objectif est toujours le même : prévenir les utilisateurs.

En même temps:
 99,999% des utilisateurs s'en tapent et n'y comprennent rien
 50% des hackers mal-attentionnés sont potentiellement intéressés

Et une fois publié, potentiellement tous les utilisateurs ont une chance de plus d'être attaqués, sans pour autant pouvoir riposter.

Avatar de philanthropos INpactien
Avatar de philanthroposphilanthropos- 16/02/15 à 11:20:35

Tout le résumé de l'absurde de la situation est là :

"il s’agit d’une frontière fixée et parfaitement publique, apte à faire comprendre aux éditeurs que les brèches doivent être corrigées au plus vite. Les 90 jours eux-mêmes se trouvent pour la firme à mi-chemin entre les 45 jours du CERT et les 120 jours de la Zero Day Initiative."

Toute la problématique d'une "injonction de faire" de la part d'une entreprise privée, sans avoir la main sur le projet, et en se dédouanant de tout ce qui pourrait arriver si on ne respecte pas ses règles.

Et puis le "apte à faire comprendre aux éditeurs", ça c'est trop fort. Tant qu'à faire, la prochaine fois autant envoyer leur propres ingénieurs faire le travail à la place des autres vu que ça prend tant de temps.

Don't be evil :mdr:

Édité par philanthropos le 16/02/2015 à 11:22
Avatar de Jed08 INpactien
Avatar de Jed08Jed08- 16/02/15 à 11:26:35

En outre, que faire une fois la situation connue ?

C'est précisément la question qui me tracassait le plus.
Google est bien gentil de vouloir forcer les éditeurs à se bouger le cul pour sortir des patchs plus vite, mais jusqu'à présent, quand une vulnérabilité était publiée j'ai jamais vu en quoi c'était bon pour l'utilisateur :S

Avatar de philanthropos INpactien
Avatar de philanthroposphilanthropos- 16/02/15 à 11:32:03

La majorité du temps, c'est juste de la com' pour taper sur la concurrence, rien de plus malheureusement.

Avatar de TaigaIV INpactien
Avatar de TaigaIVTaigaIV- 16/02/15 à 11:32:39

Par ce qu'il peut essayer d'appliquer une solution de contournement en attendant ? Par ce qu'il peut espérer être protéger à plus ou moins court terme des gens qui connaissaient la faille mais ne l'avaient pas publiée ?

Avatar de philanthropos INpactien
Avatar de philanthroposphilanthropos- 16/02/15 à 11:34:40

TaigaIV a écrit :

Par ce qu'il peut essayer d'appliquer une solution de contournement en attendant ? Par ce qu'il peut espérer être protéger à plus ou moins court terme des gens qui connaissaient la faille mais ne l'avaient pas publiée ?

Dis-donc, tu parle pour les 0.1 % de particuliers qui savent le faire, on est bien d'accord hein ? ![:yes:](https://cdn2.nextinpact.com/smileys/yaisse.gif) La publication d'une faille en court de correction est, au mieux, de l'irresponsabilité indigne de développeurs, au pire, un comportement très dangereux. Après, c'est différent si la boite en face te dis "Cette faille ? Lol, rien à foutre !".
Édité par philanthropos le 16/02/2015 à 11:36
Avatar de TaigaIV INpactien
Avatar de TaigaIVTaigaIV- 16/02/15 à 11:36:17

Source ?

Finalement tu ajoutes quelques conditions, c'est un peu mieux que la version générique "publié une faille c'est le mal". En attendant la non publication n'est absolument pas une forme de protection.

Édité par TaigaIV le 16/02/2015 à 11:37
Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 16/02/15 à 11:36:48

Parce que évidemment les entreprises ne sont jamais inquiétées par les hackers ?

Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 16/02/15 à 11:36:53

on parle de faille 0-day, donc de failles qui sont de toute façon déjà exploitées. les rendre publiques (ou menacer de les rendre publiques ) n'a pour conséquence que de faire réagir l'éditeur, ce qui est bénéfique pour le consommateur sur le long terme.

Il n'est plus possible de commenter cette actualité.
Page 1 / 8