Les chercheurs en sécurité de Google accordent un délai aux développeurs et aux fournisseurs après découverte d’une faille dans un programme. Ainsi, Project attendra 30 jours avant de divulguer les détails de la vulnérabilité dans les cas où celle-ci est corrigée dans un délai de 7 à 90 jours après notification. Le temps que les utilisateurs appliquent le correctif.
Découvrir une faille et en informer le développeur, c’est bien. Mais divulguer les détails techniques de cette vulnérabilité, cela ne va pas sans poser quelques problèmes. L’actualité récente a montré que les révélations autour de problèmes de sécurité, corrigés ou non, sont pain béni pour les cybercriminels. Qui auront tôt fait d’exploiter ces informations pour monter leurs attaques, en attendant que les utilisateurs appliquent les correctifs (ou que le FBI le fasse à leur place).
Le Project Zero de Google, si son efficacité a été démontré à bien des reprises, n’est pas à l'écart de ces polémiques. Failles révélées trop tôt, développeurs manquant de temps... L’équipe de sécurité du géant semble avoir tiré les leçons des controverses de ces derniers mois et a annoncé un changement dans sa politique de divulgation des failles.
30 jours de plus
Le délai avant la divulgation d’une faille reste de 90 jours après la première notification, avec la possibilité pour les développeurs de demander un sursis de 14 jours, le temps de colmater la brèche. Mais, une fois la faille corrigée, Project Zero attendra encore 30 jours après la diffusion du patch, le temps que celui-ci soit appliqué par les utilisateurs. Jusqu’à présent, les détails étaient dévoilés dès que le correctif était publié.
Dans le cas de failles d’ores et déjà exploitées, là encore le délai initial pour patcher la vulnérabilité est conservé, soit 7 jours après notification de la part de Project Zero, en comptant un tout nouveau sursis de trois jours accordé par Google aux développeurs. Si la faille n’est pas corrigée dans ce délai, les détails techniques sont publiés mais en cas de publication d’un correctif, Google attendra à nouveau 30 jours.
Attention, les sursis accordés par Google sont décomptés dans ces 30 jours avant publication. Ainsi, une faille patchée au 100ème jour après notification verra ses détails publiés au jour 120. Project Zero avait décidé l’an dernier de ce cycle de 90 jours afin de laisser le temps aux fournisseurs de développer et déployer leurs correctifs.
Donner du temps aux fournisseurs et aux développeurs
“Cependant, dans la pratique, nous n'avons pas observé de changement significatif dans les délais de développement des correctifs et nous avons continué à recevoir des commentaires des fournisseurs indiquant qu'ils étaient préoccupés par la publication publique de détails techniques sur les vulnérabilités et les exploits avant que la plupart des utilisateurs aient installé le correctif” explique Project Zero dans un post de blog.
D’où ce changement de politique afin de laisser plus de temps, aux développeurs comme aux utilisateurs. “Les fournisseurs disposeront désormais de 90 jours pour le développement des correctifs et de 30 jours supplémentaires pour l'adoption des correctifs” écrit l’équipe de chercheurs en sécurité de Google. Qui ajoute qu’il s’agit d’un “point de départ” qui sera susceptible d’être “réduit progressivement”.