Les éditeurs lents à corriger leurs failles seront désormais exposés plus vite. Google veut accélérer la publication des vulnérabilités détectées par son équipe Project Zero.

Désormais, Google impose aux éditeurs davantage de transparence lors de la publication de correctifs. © Ink Drop / Shutterstock
Désormais, Google impose aux éditeurs davantage de transparence lors de la publication de correctifs. © Ink Drop / Shutterstock
L'info en 3 points
  • Google accélère la divulgation des failles de sécurité pour inciter les éditeurs à corriger plus rapidement.
  • Le Project Zero de Google vise à réduire le délai entre la découverte d'une faille et sa correction.
  • La transparence est renforcée, mais sans divulguer d'informations techniques pouvant aider les attaquants potentiels.

Lancé en 2021, le Project Zero de Google fonctionne selon la règle suivante : accorder 90 jours aux éditeurs pour corriger une faille signalée, puis 30 jours supplémentaires aux utilisateurs pour adopter le correctif si celui-ci est livré dans les temps. Cependant, un phénomène baptisé « upstream patch gap », s'est développé, créant des retards parfois considérables entre la disponibilité d'un correctif en amont et son intégration par les éditeurs en aval. Résultat : les failles persistent plus longtemps que prévu dans les systèmes.

Google impose une politique plus stricte pour accélérer les correctifs

La mise à jour du Project Zero introduit une politique inédite visant à améliorer la transparence des rapports. Désormais, Google divulguera plus rapidement le nom du fournisseur ou du projet open source concerné, le produit affecté, la date de dépôt du rapport et l'échéance de divulgation fixée à 90 jours.

Tim Willis, responsable du projet, justifie cette évolution de la manière suivante : « Pour l'utilisateur final, une vulnérabilité n'est pas corrigée quand un correctif est publié du Fournisseur A vers le Fournisseur B ; elle n'est corrigée que lorsqu'il télécharge la mise à jour et l'installe sur son appareil ». Il affirme ensuite que cette nouvelle approche permettra de « mieux informer les dépendants en aval en fournissant un signal précoce qu'une vulnérabilité a été signalée en amont ».

Le géant américain veut plus de « transparence »

Google espère que cette divulgation anticipée d'informations permettra au public de suivre plus efficacement les délais entre la mise à disposition d'un correctif par un fournisseur et son arrivée sur l'appareil final de l'utilisateur. En clair, l'objectif est d'encourager un environnement dans lequel la transparence est le maître-mot.

Toutefois, Willis insiste sur le fait que cette divulgation anticipée restera bien évidemment encadrée : « Aucun détail technique, code de preuve de concept ou information qui pourrait, selon nous, faciliter de manière concrète la découverte ne sera divulgué ». Autrement dit, aucune information susceptible d'aider un attaquant ne sera publiée, afin de ne pas compromettre la sécurité au nom de la transparence.

Source : Tech Radar

À découvrir
Navigateur Web : le Top 7 en 2025
03 juillet 2025 à 13h52
Comparatifs services