Le Project Zero de Google donne du mou. Cette initiative, qui a pour ambition de repérer les failles de sécurité et autres vulnérabilités, donnait 90 jours à un développeur ou un éditeur pour mettre au point un correctif; passé ce délai, les fins limiers de Google (parmi lesquels des pointures en matière de sécurité informatique) mettaient en ligne leurs découvertes… au risque de permettre aux hackers d’exploiter des failles pas encore bouchées.
Cela a par exemple été le cas avec plusieurs failles « 0 day » débusquées dans OS X et corrigées par Apple… mais uniquement dans des versions betas du système (lire : Google débusque trois failles « 0 day » dans OS X). Autant dire que la divulgation publique de ces vulnérabilités peut être susceptible de poser des soucis de sécurité, même si cela part d’une bonne intention (à savoir pousser les éditeurs à faire le maximum pour sécuriser leurs logiciels).
Google a assoupli son approche. Si l’éditeur touché par une faille contacte l’équipe du Project Zero en indiquant qu’un correctif est en cours de développement mais qu’il ne sera pas livré avant la période fatidique des 90 jours, il obtiendra un délai de grâce de 14 jours. Google a également fait savoir qu’il ne mettrait pas en ligne ses découvertes juste avant le week-end ou les jours fériés. Dans certains cas extrêmes, le moteur de recherche acceptera de retarder la divulgation des failles.
Outre Apple, Microsoft a aussi eu à souffrir de l’absence de souplesse du Project Zero, qui a récemment mis au jour une vulnérabilité dans Windows 8.1… dont le correctif allait être mis en ligne deux jours plus tard. Ces 90 jours sont, aux yeux de Google, un bon compromis entre les 45 jours du CERT et les 120 jours du Zero Day Initiative.
