Google Project Zero va retarder la publication des failles de sécurité

Google Project Zero a décidé d'attendre 30 jours de plus avant de publier le détail des failles de sécurité. Ce délai supplémentaire était une demande des développeurs qui reprochent souvent à Google de publier ces données avant que la plupart des utilisateurs aient pu appliquer un correctif. La firme impose néanmoins des conditions très strictes pour faire en sorte que les éditeurs restent les plus réactifs possible.

Google Project Zero
Crédits : Unsplash

Google Project Zero est une initiative de Google qui rassemble les meilleurs chercheurs en sécurité dans une plateforme qui vise à faire pression sur les éditeurs pour qu'ils corrigent au plus vite les failles découvertes dans leur produit. Concrètement lorsque les équipes de Google Project Zero découvrent une faille 0-Day, ils transmettent immédiatement les détails techniques à l'éditeur. Ce dernier a pour l'instant un délai de 90 jours pour délivrer un patch – délai au-delà duquel tous les détails techniques seront dévoilés au grand public, augmentant le risque que la faille en question soit utilisée par des acteurs malveillants.

Les développeurs n'ont de leur côté pas vraiment le choix, et peuvent au mieux demander une extension de 14 jours. Dans le cas où la faille en question est activement exploitée dans la nature, le délai est beaucoup plus court. Les éditeurs ont 7 jours pour délivrer un patch, avec une extension possible, sur demande, mais limitée dans tous les cas à trois jours. Depuis longtemps les firmes qui écopent de rapports du Google Project Zero font plutôt la grimace. Les délais sont souvent jugés trop courts, sans que Google ne s'en émeuve plus que cela.

Google Project Zero donne un sursis de 30 jours pour prendre en compte le temps de déploiement des patchs

Néanmoins une critique semble avoir fait mouche : les développeurs reprochent en effet régulièrement à Google de publier le détail des failles avant que la majeure partie des utilisateurs n'ait eu le temps d'appliquer la mise à jour. C'est pourquoi Google a décidé de faire un geste. Le délai total n'est plus de 90 jours (ou au mieux 104 jours), mais de 120 jours. Il y a néanmoins des conditions. D'abord, les délais de livraisons des correctifs ne changent pas.

Les développeurs ont toujours 90 jours pour délivrer un correctif viable. Le cas échéant Google n'appliquera pas le délai supplémentaire de 30 jours et publiera toutes les données techniques de la faille au bout de 90 jours. Même chose en cas d'urgence, où le délai reste 7 jours – si le délai est respecté les données de la faille seront publiées au bout de 37 jours, ou 7 jours le cas échéant. Enfin les demandes d'extension n'ajouteront plus de jours supplémentaires. Elles seront soustraites des 30 jours supplémentaires accordés pour déployer le patch.

Lire également : Google publie une liste de failles qui touchent tous les Macs, iPhone, iPad, Apple TV et Apple Watch

Ces changements devraient concrètement être mis en place d'ici la fin de l'année 2021 voire le début de l'année 2022. Google ne veut pas brusquer les développeurs et cherche “un point de départ qui rassemble le plus de vendeurs possibles”. La firme explique qu'à plus long terme elle changera de nouveau ces délais de manière à réduire les temps de développement et de déploiement des correctifs.

Source : Engadget


Réagissez à cet article !

Demandez nos derniers articles !

La plus grande archive de jeux vidéo physiques ferme ses portes

L’Internationale Computerspielesammlung allemande, qui contient 60 000 jeux vidéo physiques anciens, doit mettre la clé sous la porte. Gros coup dur pour la préservation du jeu vidéo. 87 %. C’est…

Les astronomes n’en reviennent pas, cette planète voisine de la Terre coche presque toutes les cases de la vie

La chasse aux mondes habitables vient de trouver une nouvelle cible. Une planète toute proche affiche des conditions troublantes de familiarité. Les scientifiques n’osent plus cacher leur enthousiasme. La chasse…

Mort du format physique : Sony offre un maigre lot de consolation aux joueurs PlayStation qui espèrent encore avoir des jeux sur CD

La semaine dernière, Sony annonçait stopper la production de Blu-ray pour ses jeux PlayStation à compter de janvier 2028. Mais en réalité, cela ne concerne pas exactement tous les jeux…

Apple lancerait son iPhone pliable en quantités si limitées que les prix pourraient s’envoler

Le tourisme du haut de gamme mobile va bientôt changer d’échelle. Apple placerait son iPhone Ultra pliable dans une catégorie de prix inédite. Les premières estimations donnent le vertige. Le…

Apple Watch Series 12 : ce changement de capteur inédit pourrait tout changer

La prochaine montre connectée d’Apple pourrait révolutionner l’industrie. L’Apple Watch Series 12 pourrait en effet intégrer un nouveau capteur de santé à un emplacement inédit. On vous explique tout. Dans…

Galaxy Watch 9 et Ultra 2 : Samsung préparerait du lourd, les nouveaux cadrans ont fuité

Les prochaines montres connectées de Samsung se dévoilent déjà. Une fuite nous montre ce qui pourrait être les nouveaux cadrans des Galaxy Watch 9 et autres Galaxy Watch Ultra 2…

L’attente de GTA 6 vire à l’obsession, ce couple prend une décision complètement folle

Pour certains fans, la passion pour GTA 6 n’a pas de limite. Un couple a ainsi passé un véritable contrat, qui impose plusieurs règles aux signataires concernant le prochain volet…

Samsung pourrait faire exploser le prix de la RAM, préparez-vous au choc

Coup de tonnerre dans l’industrie de l’électronique. Malgré l’actuelle crise des composants, Samsung aurait décidé d’augmenter une nouvelle fois le prix de ses puces mémoire DRAM. Une décision qui pourrait…

Google Wallet s’améliore sur Wear OS, cette nouveauté va vous simplifier la vie

L’application de paiement de Google s’enrichit. Celle-ci facilite notamment la gestion de vos dépenses effectuées via votre montre connectée Wear OS. Google n’en finit plus d’optimiser sa célèbre application de…

Google Maps va encore plus loin : l’application pourrait commander votre repas à votre place

Google Maps cacherait une fonctionnalité bien pratique pour les amateurs de restaurants. Celle-ci permettrait de grandement faciliter la récupération de vos plats favoris alors même que vous êtes sur la…