Google a dévoilé aujourd'hui l'existence de son Project Zero. Dans une lettre publiée sur le blog de la compagnie, Chris Evans, responsable de la sécurité de Google Chrome, explique qu'il est temps de protéger le web.

Zero Day Vulnerabilities

Alors commençons par le commencement : le nom. Project Zero s'appelle ainsi en raison des “Zero Day Vulnerabilities”. Cette expression désigne les failles, dans un système informatique, qui n'ont pas encore été publiées. C'est la notion importantes ici. Une faille non publiée n'est pas une faille inconnue. Bien qu'elle puisse l'être, c'est avant tout une faille qui n'a pas encore été répertoriée officiellement.

Le cycle de la sécurité, en informatique, est très simple. Une faille est repérée, soit par les créateurs d'un logiciel, d'un système d'exploitation, d'un protocole concerné, soit par des hackers. Une fois la chose observée, ou l'attaque reçue, les personnes concernées réparent la faille de sécurité. La Vulnérabilité Jour Zero, c'est cette durée qui sépare la création du système cible et la correction du problème. Selon l'efficacité des pirates, cette période peut durer plus ou moins longtemps. Le jeu pour les agresseurs consistant à en profiter au maximum.

Dream Team de bad boys

En général, les sociétés travaillent sur la sécurité de leur propre systèmes, ou bien des sociétés dédiées travaillent à la sécurité en générale (des éditeurs d'antivirus par exemple, mais pas que). Au départ, Google avait son pôle sécurité, comme tout géant du web qui se respecte. Puis une idée a germée dans sa tête un tantinet mégalomane. Chris Evans a donc monté une équipe de hackers de haute voltige, recrutant au passage George Hotz.

Pour l'anecdote, Hotz avait par le passé piraté le blocage de l'iPhone par AT&T (réseaux téléphonique Américain) et ces derniers n'avaient rien dit. Puis il avait piraté la Playstation 3 et Sony avait abandonné les charges à conditions qu'il ne recommence pas. Puis un jour, il a réussi à pirater Chrome OS, et Google l'a payé 150 000$ pour qu'il répare la faille. Parce que c'est aussi comme ça qu'on montre qu'on est une société cool.

Deux mois plus tard, Chris Evans lui envoyait un mail lui proposant de faire partie de l'équipe de choc de Project Zero. Le job en or pour Hotz et ses co-équipiers, puisqu'ils doivent en substance essayer de pirater tout ce qu'ils peuvent – pas seulement du matériel Google – pour publier les failles et ainsi ni plus ni moins sécuriser le web.

Google en justicier ?

Bien sûr l'idée en fera rire plus d'un, et je laisse ici la place aux internautes pour juger des intentions de l'innarétable Google. Quoi qu'il en soit, la société s'avance ici avec le seul but avoué de faire un web plus sûr pour ses usagers. Les protégeant des activités criminelles, mais aussi des hackers affiliés à des gouvernements et des agences de renseignements. On se demande si Google, fort comme un état, s'attaque à son propre pays, après les différents scandales autour de la NSA, capable notamment de pirater chacun d'entre nous en 8 secondes.

“Les gens méritent d'utiliser internet sans la peur que des failles puissent détruire leur vie privée simplement en visitant un site web”.

“Notre but est de reduire significativement le nombre de personnes touchées par des attaques ciblées. Nous recrutons les meilleurs chercheurs disposant d'une expérience pratique en sécurité (ndlr : nos fameux bad boys) pour améliorer la sécurité à travers le web.”

Ca ne serait pas la première fois qu'un monstre de l'informatique tacle son pays natale, Zuckerberg ayant lui même considéré que le gouvernement Américain est un danger pour internet. Project Zero est donc bien dans l'air du temps. Peut-être que Google cherche ici à se faire une image de bon samaritain, la puissance et le genre de ses activités et développements divers lui attirant régulièrement les foudres des défenseurs de la vie privée.

Via