Project Zero, cette équipe d’experts en sécurité informatique employée par Google et chargée de trouver des vulnérabilités Zero day, va retarder la divulgation des détails techniques d’une vulnérabilité. Les fournisseurs disposeront désormais de 90 jours pour le développement des correctifs et de 30 jours supplémentaires pour l’adoption des correctifs.
Voilà plus de 10 ans que Project Zero recherche des vulnérablités dans les produits Google comma dans ceux des autres éditeurs. Jusqu’à présent la divulgation publique des failles découvertes a lieu 90 jours après un rapport de vulnérabilité initial, quel que soit le moment où le bug est corrigé.
Dorénavant, si le problème est résolu dans les 90 jours, les détails techniques sont publiés 30 jours après le correctif. Si un problème n’est toujours pas corrigé après 90 jours, les détails techniques sont publiés immédiatement.
Pour les vulnérabilités qui ont été activement exploitées contre les utilisateurs, la divulgation publique avait lieu 7 jours après le rapport de vulnérabilité initial, quel que soit le moment où le bug avait été corrigé. Maintenant, si un problème n’est toujours pas corrigé après 7 jours, les détails techniques sont publiés immédiatement. Si le problème est résolu dans les 7 jours, les détails techniques sont publiés 30 jours après le correctif.
Enfin, si une période de grâce est accordée, elle utilise une partie de la période d’adoption du correctif de 30 jours. Par exemple, mise à jour le jour 100 pendant la période de grâce, divulgation le jour 120.
« Project Zero ne partagera pas les détails techniques d’une vulnérabilité pendant 30 jours si un fournisseur la corrige avant la date limite de 90 ou 7 jours. La période de 30 jours est destinée à l’adoption des correctifs par les utilisateurs », résume Tim Willis dans un article en ligne. « Bien que la politique 90 + 30 soit une légère régression sur la publication rapide de détails techniques, nous signalons également notre intention de raccourcir notre délai de divulgation de 90 jours dans un proche avenir.« , ajoute-t-il cependant.
Une grande partie du débat autour de la divulgation des vulnérabilités porte sur la question de savoir si la publication rapide de détails techniques profite davantage aux attaquants ou aux défenseurs. Project Zero fait donc là un compromis entre partage des détails techniques des vulnérabilités qui aide à protéger les utilisateurs et évitement d’attaques opportunistes qui peuvent provenir de la publication rapide de détails techniques.
