Agence web » Actualités du digital » Google attendra un peu plus longtemps avant de publier les détails de la vulnérabilité Zero Day –

Google attendra un peu plus longtemps avant de publier les détails de la vulnérabilité Zero Day –

Un panneau d'avertissement, tout cassé et déchiqueté
SkillUp / Shutterstock

Project Zero est une équipe de Google chargée de trouver les vulnérabilités et de les signaler aux fabricants. Ce n’est pas sans controverse en raison de la publication occasionnelle des détails des vulnérabilités avant un correctif. À cette fin, Project Zero ajoutera du temps à sa période de divulgation.

Selon les anciennes règles, les éditeurs de logiciels disposaient de 90 jours pour publier un correctif à partir du moment où Google a révélé une vulnérabilité au fournisseur. Que ce soit le cas ou non, cela révélerait la vulnérabilité du jour zéro au public, souvent avec suffisamment de détails pour qu’un mauvais acteur puisse utiliser les informations pour créer des exploits. Finalement, Google a ajouté une période de grâce facultative que les fournisseurs de logiciels pouvaient demander si un correctif était presque terminé.

Les détracteurs affirment que le délai serré met le public en danger si l’entreprise travaille activement sur une solution, mais le problème est suffisamment compliqué pour ne pas être résolu en 90 jours. D’autres soulignent que certaines entreprises peuvent être peu enclines à créer un correctif sans la fenêtre dure. La pression du public aide à convaincre l’éditeur de logiciels d’agir là où il ne le peut pas autrement.

Trouver ce juste milieu est la partie la plus difficile, et Google dit qu’il fera des ajustements pour répondre aux préoccupations de la communauté de la sécurité au sens large. En 2021, il attendra 30 jours supplémentaires pour divulguer les détails d’une vulnérabilité si un fournisseur publie un correctif avant la fin de la fenêtre 90. L’idée est de donner aux utilisateurs le temps d’installer les mises à jour et de les protéger. Cependant, si un fournisseur demande une fenêtre de grâce, cela rongera la fenêtre de mise à jour de 30 jours.

C’est pour un cas où Google n’a pas découvert une vulnérabilité déjà activement abusée. Auparavant, Google avait divulgué tous les détails dans les sept jours suivant la notification. À l’avenir, il divulguera la vulnérabilité après sept jours, mais attendra de publier les détails techniques pendant 30 jours supplémentaires.

Tout cela ne vaut que pour 2021 car l’année prochaine, Google prévoit de raccourcir légèrement l’ensemble de ses fenêtres. À partir de 2022, Project Zero passera à un modèle «84 + 28» – 84 jours avant la divulgation, plus 28 jours supplémentaires pour obtenir tous les détails. Project Zero espère que raccourcir les fenêtres encouragera un développement plus rapide des correctifs. Cela suggère également que le passage à des jours divisibles par sept réduit le risque qu’une échéance tombe un week-end, lorsque les éditeurs de logiciels ont généralement des jours de congé.

Source: Projet zéro

★★★★★