Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Le Project Zero de Google attendra toujours 90 jours pour révéler les détails d’une failleCrédits : JHVEPhoto/iStock

Le Project Zero est une équipe spécifique de Google, qui consacre son temps à la recherche de failles 0-day, c’est-à-dire inconnues des éditeurs concernés.

Créée en 2014, sa politique est des plus strictes : une fois la vulnérabilité signalée, l’éditeur a 90 jours pour la corriger. Sans quoi Google publie les détails pour faire évoluer la situation. Une ligne dure, mais Google est fier d’annoncer que 97,7 % des failles signalées sont traitées en temps et en heure.

Le programme s’est cependant attiré les foudres des développeurs à plusieurs reprises, pour deux raisons. D’abord parce que trois mois peuvent être un peu « courts » pour certaines failles, mais surtout parce qu’en cas de correctif rapide, les détails sont publiés dans la foulée.

Google annonce donc un changement : le délai de 90 jours sera dans tous les cas respecté pour la publication des détails. Si l’entreprise concernée publie le correctif au bout d’une semaine, les onze suivantes permettront de s’assurer qu’une majorité de machines seront à jour avant l’arrivée des détails.

Ce changement va être testé durant toute l’année, sans garantie cependant d’être entériné. La motivation devrait demeurer intacte pour les éditeurs contactés : plus ils corrigeront vite, plus les utilisateurs seront en sécurité. Car la publication des détails signale au reste du monde qu’une brèche est prête à être exploitée.

8 commentaires
Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 14/01/20 à 09:18:37

Les « failles 0-day, c’est-à-dire inconnues des éditeurs concernés »… mais qui sont aussi déjà exploitées par les pirates, non ? Sinon, ce sont juste des failles de sécurité simples, pas spécialement « 0-day », si ? Enfin, c’est comme ça que moi, je l’ai compris, au fil du temps.

Bon, après, comme toujours, ces failles sont présentées comme la fin du monde, alors que si ça touche juste 0,1% des gens (et encore, sous des conditions généralement hors de portée des gens ordinaires), ce sera vraiment pas de chance pour eux (encore qu’ils en auraient eu davantage de gagner au Loto). :fumer:

Avatar de dvr-x Abonné
Avatar de dvr-xdvr-x- 14/01/20 à 10:43:42

Comment tu sais quand tu trouves une faille, si elle est déjà exploitée ou pas par une autre personne dans le monde ? :roll: Elle l'est "potentiellement". Tant qu'elle n'es pas publiée ou corrigée, c'est une 0-day, exploitée ou non ca n'entre pas en ligne de compte.
Enfin, tout comme toi, d'après ce que j'ai compris :D

Édité par dvr-x le 14/01/2020 à 10:44
Avatar de ThomasBrz Abonné
Avatar de ThomasBrzThomasBrz- 14/01/20 à 12:08:53

zero day c'est pour le failles qui sont présentes depuis la v1 du logiciel. Si c'est une faille dû a une update c'est plus une zero day, non?

Édité par ThomasBrz le 14/01/2020 à 12:09
Avatar de FlamingFlowair INpactien
Avatar de FlamingFlowairFlamingFlowair- 14/01/20 à 12:40:36

Wikipedia:
"Dans le domaine de la sécurité informatique, une vulnérabilité zero-day — également orthographiée 0-day — (en français : « jour zéro ») est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit informatique implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive."

Donc une faille découverte dans un logiciel qui n'est pas déjà connue est une 0day.

En effet, exploitée ou non, aucune différence.

ThomasBrz a écrit :

zero day c'est pour le failles qui sont présentes depuis la v1 du logiciel. Si c'est une faille dû a une update c'est plus une zero day, non?

C'est même pour les faille de la version bêta je pense (v0)
/troll

Sinon c'est une très bonne chose que Google arrête de dévoiler les détails à l'instant de la correction. 3 mois ça peut laisser le temps de patcher, je trouve que c'est une bonne chose.

Avatar de SirGallahad INpactien
Avatar de SirGallahadSirGallahad- 14/01/20 à 13:45:20

Euh, la faille sur les processeurs intel, c'est pas 0.1% des gens qui étaient concernés.
Alors certes, il n'y avait pas encore de méthode d'attaque simple. Mais ce genre de faille sans correctif, c'est juste une question de temps.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 14/01/20 à 13:54:35

La question c'est de savoir ce qui sera publié par Google sur la faille entre le jour 0 et le jour 90.

  1. rien du tout => ca reste une 0-day, le public n'en connais pas l’existence et ne peut pas se protéger.
  2. des généralités => le public peut pas se protéger en débranchant/désactivant le composant fautif.
  3. du spécifique => risque d'exploit, même problème que le full disclosure.
Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 14/01/20 à 15:12:04

SirGallahad a écrit :

Euh, la faille sur les processeurs intel, c'est pas 0.1% des gens qui étaient concernés.
Alors certes, il n'y avait pas encore de méthode d'attaque simple. Mais ce genre de faille sans correctif, c'est juste une question de temps.

Peu importe le pourcentage : le sens de mon propos est que dans les faits, sachant en plus qu’une bonne part de ces failles nécessitent un accès physique à la machine (donc, si je suis devant, le pirate devra attendre son tour), M. et Mme Toulemonde risquent peu de se faire attaquer leurs PC persos chez eux à cause de ces failles (utiliser des logiciels crackés ou aller sur des sites contrefaits constitue un risque bien plus élevé, même si aucun site légitime n’est à l’abri de se faire pirater non plus). Ce qui ne veut évidemment pas dire qu’il ne faut pas chercher à les corriger dès que et du mieux possible (mais pour mon Core 2 Duo de 2009, déjà, je sais que c’est mort pour Spectre V2 ; je vais pas changer de PC pour autant, tant pis).

Avatar de ThomasBrz Abonné
Avatar de ThomasBrzThomasBrz- 14/01/20 à 16:35:14

ok merci ;)

Il n'est plus possible de commenter cette actualité.