Google cherche à traquer les failles zero day qui frappent n'importe quel logiciel ayant accès au web. Une tâche colossale : d'après Chris Evans, patron et recruteur de cette équipe de choc baptisée Project Zero, « les gens méritent d'utiliser internet sans la peur des vulnérabilités qui peuvent détruire leur vie privée, rien qu'en visitant un site web ». L'objectif de ces traqueurs de failles est d'identifier les problèmes de sécurité potentiels et les éliminer.
Pour ce faire, quoi de mieux qu'une « dream team » de bidouilleurs ? On trouve dans cette agence tous risques Ben Hawkes, crédité de la découverte de dizaines de bugs dans Flash et Office en 2013; Tavis Ormandy, un des plus prolifiques chasseurs de failles de l'industrie; Ian Beer, qui a débusqué six bugs dans iOS, OS X et Safari. Surtout, Google tient sa véritable vedette : George Hotz, alias Geohot, un hacker bien connu sous nos latitudes — il est ici le premier à avoir craqué l'iPhone en 2007. Il avait alors 17 ans… Quelques temps plus tard, Sony portait plainte contre le prodige, qui avait livré plusieurs jailbreaks pour la PS3 (depuis, Geohot a interdiction de bidouiller le moindre produit Sony).
Déjà fameux dans l'industrie, Geohot a fini par taper dans l'œil de Google en remportant les 150 000$ du concours Pwnium en début d'année : il a franchi avec succès les lignes de défense de Chrome OS. Deux mois plus tard, il recevait un coup de fil de Chris Evans pour lui proposer un job à Project Zero, ou plutôt un stage puisque c'est de cela dont il est question pour le moment. Pour les amateurs, Google continue de recruter pour muscler cette escouade anti-bugs, qui travaillera aussi bien à l'intuition qu'avec des logiciels spéciaux.
Cette initiative, pour altruiste qu'elle puisse paraître, est lancée alors que la suspiscion est de mise suite aux révélations d'Edward Snowden sur les agissements de la NSA : l'agence américaine de renseignements a usé de failles pour s'infiltrer discrètement dans les serveurs de plusieurs grandes entreprises… dont ceux du moteur de recherche, qui n'a pas apprécié de se faire ainsi court-circuiter. La NSA use d'ailleurs de failles zero day pour accéder aux précieuses bases de données des services web les plus populaires. Il n'est pas question pour Google d'effrayer l'internaute lambda qui restreindrait l'usage de ses services par peur des grandes oreilles du gouvernement US.
Google se doit de colmater non seulement ses propres logiciels, mais aussi ceux de tiers; après tout, le navigateur Chrome utilise des extensions tierces et s'utilise sur des systèmes d'exploitation sur lesquels le moteur n'a aucune prise. Dès qu'un membre de Project Zero débusquera une vulnérabilité dans un logiciel tiers, il préviendra immédiatement l'éditeur qui aura alors entre 60 à 90 jours pour boucher la faille, avant qu'elle ne soit révélée publiquement sur le blog de l'initiative.
Source : Wired
