Google Project Zero va retarder la publication des failles de sécurité

Google Project Zero a décidé d'attendre 30 jours de plus avant de publier le détail des failles de sécurité. Ce délai supplémentaire était une demande des développeurs qui reprochent souvent à Google de publier ces données avant que la plupart des utilisateurs aient pu appliquer un correctif. La firme impose néanmoins des conditions très strictes pour faire en sorte que les éditeurs restent les plus réactifs possible.

Google Project Zero est une initiative de Google qui rassemble les meilleurs chercheurs en sécurité dans une plateforme qui vise à faire pression sur les éditeurs pour qu'ils corrigent au plus vite les failles découvertes dans leur produit. Concrètement lorsque les équipes de Google Project Zero découvrent une faille 0-Day, ils transmettent immédiatement les détails techniques à l'éditeur. Ce dernier a pour l'instant un délai de 90 jours pour délivrer un patch – délai au-delà duquel tous les détails techniques seront dévoilés au grand public, augmentant le risque que la faille en question soit utilisée par des acteurs malveillants.

Les développeurs n'ont de leur côté pas vraiment le choix, et peuvent au mieux demander une extension de 14 jours. Dans le cas où la faille en question est activement exploitée dans la nature, le délai est beaucoup plus court. Les éditeurs ont 7 jours pour délivrer un patch, avec une extension possible, sur demande, mais limitée dans tous les cas à trois jours. Depuis longtemps les firmes qui écopent de rapports du Google Project Zero font plutôt la grimace. Les délais sont souvent jugés trop courts, sans que Google ne s'en émeuve plus que cela.

Google Project Zero donne un sursis de 30 jours pour prendre en compte le temps de déploiement des patchs

Néanmoins une critique semble avoir fait mouche : les développeurs reprochent en effet régulièrement à Google de publier le détail des failles avant que la majeure partie des utilisateurs n'ait eu le temps d'appliquer la mise à jour. C'est pourquoi Google a décidé de faire un geste. Le délai total n'est plus de 90 jours (ou au mieux 104 jours), mais de 120 jours. Il y a néanmoins des conditions. D'abord, les délais de livraisons des correctifs ne changent pas.

Les développeurs ont toujours 90 jours pour délivrer un correctif viable. Le cas échéant Google n'appliquera pas le délai supplémentaire de 30 jours et publiera toutes les données techniques de la faille au bout de 90 jours. Même chose en cas d'urgence, où le délai reste 7 jours – si le délai est respecté les données de la faille seront publiées au bout de 37 jours, ou 7 jours le cas échéant. Enfin les demandes d'extension n'ajouteront plus de jours supplémentaires. Elles seront soustraites des 30 jours supplémentaires accordés pour déployer le patch.

Lire également : Google publie une liste de failles qui touchent tous les Macs, iPhone, iPad, Apple TV et Apple Watch

Ces changements devraient concrètement être mis en place d'ici la fin de l'année 2021 voire le début de l'année 2022. Google ne veut pas brusquer les développeurs et cherche “un point de départ qui rassemble le plus de vendeurs possibles”. La firme explique qu'à plus long terme elle changera de nouveau ces délais de manière à réduire les temps de développement et de déploiement des correctifs.

Source : Engadget