Google va temporiser un peu avant de prendre la parole sur les failles de sécurité. L'objectif : laisser assez de temps au patch pour se diffuser auprès du public.

Repérer des failles informatiques, c’est bien. Laisser assez de temps pour les corriger, c’est mieux. Voilà, en quelque sorte, la philosophie générale que Google parait décidé à appliquer à l’avenir dans le cadre de son « Project Zero ». Dans un billet de blog partagé le 15 avril 2021, le géant du net a présenté de quelle façon il entend désormais rendre publiques les vulnérabilités qu’il découvre dans les logiciels.

La nouvelle est d’importance, car l’initiative « Project Zero » est l’une des plus en vue dans le domaine de la cybersécurité. Mise en place en 2014 par l’entreprise américaine, elle est spécialisée dans la recherche de brèches critiques dans les programmes informatiques, et tout particulièrement les failles dites 0-day, c’est-à-dire qui ne sont pas documentées ou qui n’ont pas été repérées.

Les logos informels pour représenter Meltdown et Spectre. Si ces petits dessins sont mignons, les failles qu’ils évoquent le sont beaucoup moins.

Elle s’est taillée une sacrée réputation, au point que ses membres sont parfois perçus comme une « dream team » : c’est l’un d’eux qui a découvert, à l’âge d’à peine 22 ans, les deux failles qui affectaient la quasi-totalité des processeurs, Meltdown et Spectre. C’est aussi elle qui a contribué à sécuriser l’iPhone, Windows, Linux, Cloudflare, Uplay, LastPass, Dashlane, TrueCrypt ou bien le shell Bash.

Sauf que ces découvertes, parfois retentissantes dans le monde de la tech, charrient quelques fois des polémiques : en effet, le « Project Zero » applique une politique de divulgation de failles qui spécifie que, pendant 90 jours, aucune information n’est révélée, sauf à la société dont le logiciel est affecté — c’est à ce moment-là que le décompte démarre. Puis, après 90 jours, une publication est réalisée.

En clair, Google Project Zero donne 90 jours aux entreprises pour réparer la faille, avant d’en parler sur leur blog très suivi, à la fois par des spécialistes en sécurité informatique, mais aussi par des profils nettement plus problématiques. En effet, il n’est pas improbable de penser que les cybercriminels se documentent aussi, comme les chercheurs, en lisant les rapports sur les vulnérabilités. Et ils capitalisent sur les bugs connus pour conduire leurs attaques.

Or, cette façon de faire a causé quelques frictions avec des entreprises tierces, y compris auprès de compagnies dont on peut penser qu’elles ont des bataillons entiers d’ingénieurs mobilisables pour intervenir sur une faille critique venant d’être signalée. On a ainsi eu ce type d’accrochage avec Microsoft et Windows 10 S. Dans un autre style, Apple a aussi eu un désaccord avec ce délai de 90 jours.

Un mois de silence en plus, pour laisser du temps pour les mises à jour

Ce cadre est en train d’évoluer, en partie du moins. En effet, le groupe prévoit de laisser un délai supplémentaire de 30 jours, afin que l’adoption des correctifs de sécurité se fasse sans risque pour le public. En clair, ce mois additionnel doit être un temps de diffusion du patch. En principe, après ces 30 jours, celui-ci doit être assez généralisé pour que l’on puisse en parler sans trop de risque.

Il pouvait en effet être paradoxal, au moment même où une solution a une brèche est trouvée, de signaler par ailleurs publiquement ses détails, alors qu’elle n’est pas colmatée partout. Toutefois, seules les entreprises qui respectent le cadre des 90 jours sont éligibles à cette fenêtre additionnelle, précise Google. Il est toujours possible pour les entreprises d’avoir 14 jours supplémentaires à ce délai de 90 jours.

Un pirate informatique, qui travaille dans le noir, avec une capuche sur la tête, tard le soir, car c’est bien sûr comme ça que ça se passe. // Source : Louise Audry pour Numerama

Cette fenêtre de 30 jours s’applique aussi pour les vulnérabilités dont il est établi qu’elles sont activement exploitées par des tiers malveillants. Sauf que dans ce cas, pour des raisons évidentes, Google n’applique pas un délai de 90 jours, mais seulement de 7, avec la possibilité de l’étendre de 3 jours de plus. En effet, il est attendu que, dans de telles circonstances, les entreprises interviennent en urgence.

« Cette politique 90+30 donne aux entreprises plus de temps que notre politique actuelle, car passer directement à une politique 60+30 (ou similaire) serait probablement trop abrupt et perturbant. Nous préférons choisir un point de départ qui peut être respecté de manière cohérente par la plupart des fournisseurs, puis réduire progressivement les délais de développement et d’adoption des correctifs », écrit Google.

Autrement dit, on n’a peut-être pas encore fini d’entendre parler des échéances que veut fixer le « Project Zero » pour sécuriser la tech.

Partager sur les réseaux sociaux

La suite en vidéo