Google attendra un peu plus longtemps avant de publier les détails de la vulnérabilité Zero Day
Project Zero est une équipe de Google chargée de trouver des vulnérabilités et de les signaler aux fabricants. Ce n’est pas sans controverse en raison de la publication occasionnelle des détails des vulnérabilités avant un correctif. À cette fin, Project Zero ajoutera du temps à sa période de divulgation.
Selon les anciennes règles, les éditeurs de logiciels avaient 90 jours pour publier un correctif à partir du moment où Google a révélé une vulnérabilité au fournisseur. Que ce soit le cas ou non, cela révélerait la vulnérabilité du jour zéro au public, souvent avec suffisamment de détails pour qu’un mauvais acteur puisse utiliser les informations pour créer des exploits. Finalement, Google a ajouté une période de grâce facultative que les éditeurs de logiciels pouvaient demander si un correctif était presque terminé.
Les détracteurs affirment que le délai strict met le public en danger si l’entreprise travaille activement sur une solution, mais le problème est suffisamment compliqué pour ne pas être résolu en 90 jours. D’autres soulignent que certaines entreprises peuvent être peu enclines à créer un correctif sans la fenêtre matérielle. La pression publique aide à convaincre le fournisseur de logiciels d’agir là où il ne le ferait pas autrement.
Trouver ce terrain d’entente est la partie difficile, et Google dit qu’il fera des ajustements pour répondre aux préoccupations de la communauté de la sécurité au sens large. En 2021, il attendra 30 jours supplémentaires pour divulguer les détails d’une vulnérabilité si un fournisseur publie un correctif avant la fin de la fenêtre 90. L’idée est de donner aux utilisateurs le temps d’installer les mises à jour et de les protéger. Cependant, si un fournisseur demande une fenêtre de grâce, cela rongera la fenêtre de mise à jour de 30 jours.
C’est pour un cas où Google n’a pas découvert une vulnérabilité déjà activement abusée. Auparavant, lorsque cela se produisait, Google divulguait tous les détails dans les sept jours suivant la notification. À l’avenir, il divulguera la vulnérabilité après sept jours, mais attendra de publier les détails techniques pendant 30 jours supplémentaires.
Tout cela ne vaut que pour 2021 car l’année prochaine, Google prévoit de raccourcir légèrement toutes ses fenêtres. À partir de 2022, Project Zero passera à un modèle "84 + 28" – 84 jours pour la divulgation, plus 28 jours supplémentaires pour tous les détails. Project Zero espère que le raccourcissement des fenêtres encouragera un développement plus rapide des correctifs. Il suggère également que le passage à jours divisible par sept réduit le risque qu’une échéance tombe un week-end, lorsque les éditeurs de logiciels ont généralement des jours de congé.
Source: Projet Zéro