Google dévoile Project Zero : L’élite des hackers pour protéger le web

Date de dernière mise à jour : le 10 avril 2016 à 18 h 40 min

Google a dévoilé aujourd’hui l’existence de son Project Zero. Dans une lettre publiée sur le blog de la compagnie, Chris Evans, responsable de la sécurité de Google Chrome, explique qu’il est temps de protéger le web.

Google Project Zero

Zero Day Vulnerabilities

Alors commençons par le commencement : le nom. Project Zero s’appelle ainsi en raison des “Zero Day Vulnerabilities”. Cette expression désigne les failles, dans un système informatique, qui n’ont pas encore été publiées. C’est la notion importantes ici. Une faille non publiée n’est pas une faille inconnue. Bien qu’elle puisse l’être, c’est avant tout une faille qui n’a pas encore été répertoriée officiellement.

Le cycle de la sécurité, en informatique, est très simple. Une faille est repérée, soit par les créateurs d’un logiciel, d’un système d’exploitation, d’un protocole concerné, soit par des hackers. Une fois la chose observée, ou l’attaque reçue, les personnes concernées réparent la faille de sécurité. La Vulnérabilité Jour Zero, c’est cette durée qui sépare la création du système cible et la correction du problème. Selon l’efficacité des pirates, cette période peut durer plus ou moins longtemps. Le jeu pour les agresseurs consistant à en profiter au maximum.

Dream Team de bad boys

En général, les sociétés travaillent sur la sécurité de leur propre systèmes, ou bien des sociétés dédiées travaillent à la sécurité en générale (des éditeurs d’antivirus par exemple, mais pas que). Au départ, Google avait son pôle sécurité, comme tout géant du web qui se respecte. Puis une idée a germée dans sa tête un tantinet mégalomane. Chris Evans a donc monté une équipe de hackers de haute voltige, recrutant au passage George Hotz.

Pour l’anecdote, Hotz avait par le passé piraté le blocage de l’iPhone par AT&T (réseaux téléphonique Américain) et ces derniers n’avaient rien dit. Puis il avait piraté la Playstation 3 et Sony avait abandonné les charges à conditions qu’il ne recommence pas. Puis un jour, il a réussi à pirater Chrome OS, et Google l’a payé 150 000$ pour qu’il répare la faille. Parce que c’est aussi comme ça qu’on montre qu’on est une société cool.

Deux mois plus tard, Chris Evans lui envoyait un mail lui proposant de faire partie de l’équipe de choc de Project Zero. Le job en or pour Hotz et ses co-équipiers, puisqu’ils doivent en substance essayer de pirater tout ce qu’ils peuvent – pas seulement du matériel Google – pour publier les failles et ainsi ni plus ni moins sécuriser le web.

Google en justicier ?

Bien sûr l’idée en fera rire plus d’un, et je laisse ici la place aux internautes pour juger des intentions de l’innarétable Google. Quoi qu’il en soit, la société s’avance ici avec le seul but avoué de faire un web plus sûr pour ses usagers. Les protégeant des activités criminelles, mais aussi des hackers affiliés à des gouvernements et des agences de renseignements. On se demande si Google, fort comme un état, s’attaque à son propre pays, après les différents scandales autour de la NSA, capable notamment de pirater chacun d’entre nous en 8 secondes.

“Les gens méritent d’utiliser internet sans la peur que des failles puissent détruire leur vie privée simplement en visitant un site web”.

“Notre but est de reduire significativement le nombre de personnes touchées par des attaques ciblées. Nous recrutons les meilleurs chercheurs disposant d’une expérience pratique en sécurité (ndlr : nos fameux bad boys) pour améliorer la sécurité à travers le web.”

Ca ne serait pas la première fois qu’un monstre de l’informatique tacle son pays natale, Zuckerberg ayant lui même considéré que le gouvernement Américain est un danger pour internet. Project Zero est donc bien dans l’air du temps. Peut-être que Google cherche ici à se faire une image de bon samaritain, la puissance et le genre de ses activités et développements divers lui attirant régulièrement les foudres des défenseurs de la vie privée.

 

Via

Réagissez à cet article !
  • Thera

    Quelque soient les intentions de Google ici, je ne vois pas vraiment quel droit les protèges de refuser de répondre à la NSA la question : “Quelles informations possédez-vous pour nous permettre d’accéder / craquer / pirater XXX ?”. Un petit coup de Patriot Act et puis c’est bon.

  • g20

    Super idée !

  • Kedketh

    C’est pas très légal de tester la sécurité d’un site web sans l’accord de son auteur non ?

    • shalkare

      Si un mec test la sécurité de mon site Web “gratos” , je vais pas me gêner. A moi d’être au taquet pour corriger, et merci au testeur.
      Quand tu vois le prix d’un audit …

      • Kedketh

        Oui oui toi tu diras rien mais au niveau légal ça peut poser problème , enfin ils doivent déjà s’être penchés sur la question

    • Marc Le-corguillé

      Pourquoi se serai pas légal, ce qui l’est pas c’est d’utiliser cette faille pour y récupérer toutes les données revendable

      • Kedketh

        il faudrait chercher mais je sais qu’il est interdit de s’infiltrer frauduleusement dans un système qui ne t’appartient pas , soit de chercher des failles dans un site qui ne t’appartient pas , sans l’accord de son propriétaire . Ceci en France , quand on voit les peines de prison et les amendes des hackers Américains a mon avis c’est au moins aussi strict que nous là bas voir plus

        • Youenn Svgn

          C’est condamnable si la société porte plainte. Et, comme dis plus haut, vu le prix d’un audit, le hacker n’a plus qu’à proposer un deal : “je me suis infiltré dans ton système, tu peux ne pas porter plainte et me filer 50 000 $ pour que je t’indique la faille, ou tu peux en dépenser 500 000 pour ESSAYER de la trouver”

  • mum89

    Google n’est pas un justicier, mais il veut juste découvrir puis corriger les failles avant qu’un tiers puisse les exploiter (notamment la NSA)

    • Pourquoi être pessimiste ? On en sait foutrement rien.
      Si google protége internet c’est s’assurer une bonne image, des visiteurs, du fric quoi.
      Vu le prix que ces gars doivent être payés ça ne sera surement pas du travail baclé.

    • Marc Le-corguillé

      Sauf que dans ce cas, Google est internet sans son moteur de recherche on en serai peut être là aujourd’hui….pour pérenniser son travail il reste à le protéger donc normal qu’ils y pensent…et c’est un moyen comme un autre de s’attirer les grâces des Anonymous

    • Gérald Montury

      pourtant il attire la sympathie en faisant cela. Pour une fois qu’on récompense quelqu’un qui voit une faille plutot que de lui coler une amende ou de le mettre en prison. Super la politique de l’autruche. Du coup, on en parle pas mais cela existe.
      De plus cela lui permet d’améliorer la fiabilité de google, android, chrome… Donc il attire les gens qui ne veulent pas de faille.
      Et pour finir, il pourrait même briser ces concurrents en disant que son équipe à trouver des failles énorme dans l’ios, windows…
      Je sais cela veut dire qu’il va dominé encore plus et pour certain, cela peut faire peur.

      • Stef80

        Microsoft a aussi une petite cellule de ce type. Je trouve ça génial comme initiative. Si les failles sont identifiées avant l’exploitation par des personnes mal-intentionnées, c’est un gros plus.
        Et effectivement, Microsoft et Google récompensent ceux qui identifient et leur remontent les failles. Chez d’autres, politique de l’autruche oblige, on étouffe l’affaire, on vire les mecs de la communauté de développeurs (Charlie Miller, par exemple).

      • iCe

        La sympathie ??? pourquoi parce que ta un téléphone made in Google ? tu te rassure comme tu peut !
        Bandes de naïfs, encore plus de pouvoir pour cette maudite entreprise dans ce pays assoiffé de tout.

        • Gérald Montury

          Tu as oublié de prendre tes gouttes?
          J’espère que tu n’as rien provenant d’Apple, IBM, Google, Intel, Microsoft, dell, hp… Les gros méchants plein de sous …
          Mais bon comme tu n’es pas un gros naïf, je vais pouvoir dormir sur mes deux oreilles grâce à toi ;-)

  • Samsung

    C’est des conneries…

    Google et la nsa travail main dans la main…

    C’est du bluff pour mieux nous baiser…

    Parce que vous croyez que le gouvernement américain n’a pas autorité sur google ? Mdr

  • Youenn Svgn

    Nouvelles mesures anti-terroriste qui placent la nsa au dessus des lois…

  • Ames

    Le seul maître dans la sécurité face au risque du web est l’utilisateur lui même.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Google Assistant : votre smartphone est-il compatible ?

Google Assistant est enfin en cours de déploiement dans l’hexagone. Le nouveau concurrent des Amazon Alexa, Apple Siri et autres Microsoft Cortana vient se faire une place sur de nombreux smartphones Android et iOS. Heureusement, de très nombreux smartphones sont compatibles….

d3160168f8821265b5f2bb12546b1ffbQQQQQQQQQQQQQQQQQQQQQQQQ