du 14 janvier 2020
Date

Choisir une autre édition

Le Project Zero de Google attendra toujours 90 jours pour révéler les détails d’une faille

Le Project Zero est une équipe spécifique de Google, qui consacre son temps à la recherche de failles 0-day, c’est-à-dire inconnues des éditeurs concernés.

Créée en 2014, sa politique est des plus strictes : une fois la vulnérabilité signalée, l’éditeur a 90 jours pour la corriger. Sans quoi Google publie les détails pour faire évoluer la situation. Une ligne dure, mais Google est fier d’annoncer que 97,7 % des failles signalées sont traitées en temps et en heure.

Le programme s’est cependant attiré les foudres des développeurs à plusieurs reprises, pour deux raisons. D’abord parce que trois mois peuvent être un peu « courts » pour certaines failles, mais surtout parce qu’en cas de correctif rapide, les détails sont publiés dans la foulée.

Google annonce donc un changement : le délai de 90 jours sera dans tous les cas respecté pour la publication des détails. Si l’entreprise concernée publie le correctif au bout d’une semaine, les onze suivantes permettront de s’assurer qu’une majorité de machines seront à jour avant l’arrivée des détails.

Ce changement va être testé durant toute l’année, sans garantie cependant d’être entériné. La motivation devrait demeurer intacte pour les éditeurs contactés : plus ils corrigeront vite, plus les utilisateurs seront en sécurité. Car la publication des détails signale au reste du monde qu’une brèche est prête à être exploitée.

chargement Chargement des commentaires...