Bioboa.fr
projet zero google

Plus de souplesse pour le Project Zero de Google

Une nouvelle disposition prise par l’équipe Project Zero de chez Google est appréciée par Microsoft. Plus précisément, la politique portant sur la révélation des failles de sécurité qui n’ont pas pu fait l’objet d’une correction est désormais assouplie…

Révélation des correctifs par Google

C’est donc officiel, le Project Zero a décidé d’apporter des modifications sur la façon dont les failles de sécurité qui n’ont pas fait l’objet de correction et qui peuvent être exploitées est assouplie. Pour rappel, cette politique de Google est prise en charge par une équipe de chercheurs qui existe depuis le mois de juillet 2014 et mise en place sur une initiative du groupe de Mountain View. Auparavant, les éditeurs disposaient d’un délai de 90 jours pour dévoiler les éventuels correctifs en cas de découverte d’une faille dans un logiciel. Après ce laps de temps, la vulnérabilité est dévoilée au public, en apportant des preuves. Cette mesure est indispensable pour hâter l’élaboration de patchs et surtout pour optimiser la sécurité des utilisateurs.

Ce qui va changer

Désormais, le délai pour dévoiler les informations sur une éventuelle faille est de 104 jours, ce qui implique une rallonge de 2 semaines. Par ailleurs, la révélation des failles ne sera plus effectuée durant un jour non-ouvrable (notamment en week-end ou pendant un jour férié). La divulgation sera réalisée automatiquement pour le jour ouvrable le plus proche.

En outre, Google se réserve de droit de vérifier l’attribution des CVE aux failles ayant dépassé le délai de rétention des infos, en notant qu’il s’agit d’une norme grâce à laquelle une référence unique est associée à chaque faille. Avec cette façon de procéder, les confusions peuvent être évitées.

Dans tous les cas, Microsoft n’a pas manqué de donner son avis sur le sujet. La compagnie de Redmond estime qu’il est indispensable de mieux synchroniser les efforts de toutes parts, en l’occurrence de la part des éditeurs et des chercheurs. Par ailleurs, plus de concertations au niveau des stratégies de protection serait la bienvenue. Alors, Microsoft salue l’assouplissement de la politique de Google par rapport à la révélation des failles. Mais, dans la globalité, elle y reste quand même opposée.

Have something to add? Share it in the comments.