Google introduit une période de grâce avant la divulgation de vulnérabilités

La récente divulgation de vulnérabilités par l'équipe de sécurité Google Zero a laissé les experts de la communauté perplexes. Google a donc décidé d'assouplir sa politique.

Jusqu'à présent lorsque le cabinet de sécurité de Google découvrait de nouvelles vulnérabilités, les experts prévenaient l'éditeur et lui donnaient 90 jours pour publier un correctif. Si durant ces trois mois, aucune mise à jour n'a été proposée, les détails de ses découvertes sont tout bonnement rendus publics. Des hackers malveillants peuvent donc en faire usage pour orchestrer leurs attaques.

Cette politique ne fait pas l'unanimité. Récemment, Google a partagé les détails de plusieurs vulnérabilités affectant Windows 7 et Windows 8.1. L'une d'entre elles permettait à un hacker d'obtenir une élévation de privilèges au sein du système en passant administrateur. Microsoft expliquait alors : « Google a publié des informations sur une vulnérabilité affectant un produit Microsoft deux jours avant notre correctif planifié dans le cadre de notre fameux Patch Tuesday et malgré le fait qu'on leur ait demandé d'éviter de le faire ».

Une politique controversée

Sur l'un de ses blogs officiels, Google précise que sur les 154 vulnérabilités identifiées par son équipe, 85% d'entre elles ont été corrigées en moins de trois mois. Sur les 73 trouvées depuis le 1er octobre, ce taux passe à 90%. Pour Google, il est clair que la notion d'échéance encourage un suivi plus strict du logiciel.

Toutefois, pour la firme de Redmond, cette publication tenait plus à une provocation qu'à autre chose, des centaines de milliers d'utilisateurs devenant d'emblée vulnérables. Cela n'a pas empêché Google de publier les détails d'une nouvelle vulnérabilité affectant Windows ainsi que trois autres concernant OS X.

Une période de grâce

L'équipe de Google Zero explique avoir mis en place une période de grâce supplémentaire de 14 jours. La société en profite pour rappeler qu'elle n'est pas la seule à effectuer cette pratique. Yahoo! divulgue les failles après 90 jours, contre 45 jours pour le CERT de l'université de Carnegie Mellon et 120 pour le Zero Day Initiative.

Les experts ont décidé que si un éditeur les contacte durant cette période de 90 jours en leur promettant la publication d'un patch dans le courant des deux semaines suivant ces trois mois, Google ne publiera pas les détails avant la disponibilité de cette mise à jour. Selon la société, les bugs repérés au sein de ses produits, qu'il s'agisse de Chrome ou Android, sont assujettis à la même politique.

Google a lancé son « Projet Zero » en juillet dernier dans le but, altruiste au premier abord, d'améliorer la sécurité générale des internautes en traquant les failles de sécurité des produits logiciels, qu'ils émanent de Mountain View ou d'un autre éditeur.