Chez Google, les salariés chargés de dénicher des vulnérabilités critiques dans les logiciels — surtout ceux de la concurrence — opèrent au sein de l’équipe Project Zero, dont la réputation prestigieuse n’est plus à faire dans le monde des développeurs. Il y a quelques années, l’équipe était pourtant encore inconnue et suscitait la curiosité du milieu.

Aujourd’hui, l’un de ses meilleurs éléments s’appelle Tavis Ormandy, un expert en sécurité informatique, qui a prouvé à de multiples reprises son talent pour repérer des situations à risque. Outre le signalement de brèches critiques dans Linux ou Windows, il a été le premier, en février 2017, à repérer la fuite de données personnelles de Cloudflare, l’entreprise qui fournit ses services à des millions de sites web.

En tant que membre de l’équipe Project Zero, Ormandy est bien conscient de l’importance de résoudre ce bug au plus vite pour éviter que cette faille n’affecte le reste du web. Une simple requête Twitter — « Quelqu’un en charge de la sécurité chez Cloudflare pourrait-il me contacter en urgence »,  sans même interpeller l’entreprise par une mention « @ » — lui a ainsi suffi à obtenir une réponse rapide du responsable britannique concerné, réveillé en plein milieu de la nuit.

CC Tarang hirani

Une équipe née après l’opération Aurora

À l’heure où les piratages (comme ceux de Yahoo) et autres attaques au ransomware ne cessent de gagner en ampleur, le travail de Project Zero s’avère plus crucial que jamais. L’excellence de Google dans le domaine s’explique par les investissements réalisés en la matière il y a plusieurs années, après que l’entreprise a elle-même été victime d’une intrusion. Elle en a tiré un enseignement simple : toute menace extérieure concerne indirectement Google, donc l’ensemble du web.

Si Project Zero a officiellement été annoncé en 2014, son origine remonte à bien plus loin. En 2009, le géant du web subit — à l’instar d’autres entreprises tech de renom — une cyberattaque commise par un groupe de hackers lié au gouvernement chinois. Vol de données, intrusion dans les serveurs… L’opération Aurora aurait été permise grâce à une faille d’Internet Explorer 6 non corrigée par Microsoft. Sergey Brin, co-fondateur de Google, appelle alors ses équipes à veiller à la sécurité de la concurrence pour éviter de subir les conséquences désastreuses de tout détournement de ce genre.

Si les entreprises de la tech comptent pour la plupart une équipe chargée de repérer les bugs et autres failles de leurs produits, rares sont celles qui consacrent du temps et de la main d’œuvre à traquer ceux de la concurrence. Google adopte cette vision à contre-courant.

CC DNP

Une naissance informelle

L’équipe commence à prendre forme en 2014 quand Chris Evans, ancien responsable de la sécurité du navigateur Google Chrome, en gère la création. Il recrute tour à tour Ian Beer, un spécialiste britannique en sécurité informatique qui s’est fait connaître en repérant des failles chez Apple, puis Tavis Ormandy. Project Zero pioche à l’international pour constituer sa « dream team » de spécialistes, notamment en Nouvelle-Zélande.

Chris Evans, qui a depuis rejoint Tesla et cédé sa place à la tête de Project Zero à Ben Hakes, estime toutefois qu’il est difficile d’apposer une date de « naissance » exacte à Project Zero : « Les fondations […] ont été posées sur plusieurs années, au cours de conversations tenues pendant les pauses déjeuner et d’observations sur l’évolution des attaques. »

Petit à petit, les premiers signes de reconnaissance émergent chez les concurrents, notamment en avril 2014 lorsque Apple remercie « Ian Beer de Google Project Zero » pour avoir découvert une faille sur le navigateur Safari, suscitant la curiosité de la communauté des spécialistes de sécurité réunis sur Twitter.

Alertes rapides…

Au fil des mois, les remerciements de la communauté se multiplient, jusqu’à ce que Chris Evans finisse par officialiser l’équipe le 15 juillet 2014 dans un article de blog détaillant ses missions : « Vous devriez pouvoir naviguer sur le web sans craindre que des criminels ou des équipes agissant pour un gouvernement n’utilisent des bugs pour infecter votre ordinateur, dérober vos secrets ou surveiller vos communications. […] Notre objectif est de diminuer considérablement le nombre de personnes affectées par ces attaques ciblées. Nous recrutons les meilleurs experts en sécurité informatique et consacrons 100 % de leur temps à améliorer la sécurité sur Internet. »

Le nom de Project Zero fait référence aux failles « zero day », celles qui désignent les dangers de sécurité tout juste découverts, pour lesquelles les entreprises ou développeurs n’ont pas encore développé de correctif.

Depuis, la politique de Google en la matière est connue : il n’hésite pas à alerter publiquement — souvent grâce à Tavis Ormandy — des bugs qui concernent la concurrence, pour inciter celle-ci à les corriger, parfois de manière insistante. Le géant de Mountain View dévoile en effet les failles selon sa politique de sécurité adoptée en 2013. Dans un délai de 3 mois en temps normal, mais dans un laps de temps réduit pour les bugs les plus dangereux : « Si sept jours se sont écoulés sans qu’un patch correctif ou un avertissement aient été donnés [par l’entreprise concernée], nous soutiendrons les chercheurs qui expliquent publiquement aux utilisateurs comment se protéger eux-mêmes. »

CC Davide D’Amico

… et critiques publiques

À l’automne 2016, Microsoft ne cachait pas son agacement après la révélation par Google d’une faille de sécurité concernant Windows : «  Nous sommes convaincus qu’une entreprise technologique responsable doit faire primer le client avant tout et procéder à une révélation coordonnée des failles de sécurité. La décision prise par Google, sans laisser le temps d’assurer de l’efficacité d’un patch correctif, est décevante et accentue la menace potentielle qui plane sur les utilisateurs. »

Les critiques formulées contre Project Zero l’ont amené à revoir sa politique : une prolongation de 14 jours est désormais envisageable pour les failles révélées sous 3 mois, à condition que l’entreprise concernée travaille déjà sur un patch.

Pour Chris Evans, la plus grande difficulté initiale a été d’assembler une telle équipe : « Le défi est plus compliqué qu’il n’y paraît. L’argent privé regroupe [essentiellement] les meilleurs hackers du monde, en les incitant à travailler en secret, sachant que les gouvernements et d’autres entités sont prêts à payer des sommes colossales pour leurs découvertes. »

Depuis sa création, Project Zero s’est forgé une réputation d’excellence, malgré les reproches de certains sur ses méthodes d’alerte. Le travail de l’équipe n’est évidemment pas dénué d’intérêt pour Google : œuvrer à la sécurité du web permet aussi de s’assurer que le principal revenu de l’entreprise — la publicité — puisse pleinement fonctionner… et d’accroître son emprise dans le domaine.