{"id":195082,"date":"2022-06-30T18:17:00","date_gmt":"2022-06-30T15:17:00","guid":{"rendered":"https:\/\/geek.mediadoma.com\/?p=195082"},"modified":"2022-03-30T06:50:09","modified_gmt":"2022-03-30T03:50:09","slug":"google-attendra-un-peu-plus-longtemps-avant-de-publier-les-details-de-la-vulnerabilite-zero-day","status":"publish","type":"post","link":"https:\/\/geek.mediadoma.com\/fr\/google-attendra-un-peu-plus-longtemps-avant-de-publier-les-details-de-la-vulnerabilite-zero-day\/","title":{"rendered":"Google attendra un peu plus longtemps avant de publier les d\u00e9tails de la vuln\u00e9rabilit\u00e9 Zero Day"},"content":{"rendered":"

SkillUp\/Shutterstock<\/a><\/p>\n

Project Zero est une \u00e9quipe de Google charg\u00e9e de trouver des vuln\u00e9rabilit\u00e9s et de les signaler aux fabricants. Ce n’est pas sans controverse en raison de la publication occasionnelle des d\u00e9tails des vuln\u00e9rabilit\u00e9s avant un correctif. \u00c0 cette fin, Project Zero ajoutera du temps \u00e0 sa p\u00e9riode de divulgation<\/a>.<\/p>\n

Selon les anciennes r\u00e8gles, les \u00e9diteurs de logiciels avaient 90 jours pour publier un correctif \u00e0 partir du moment o\u00f9 Google a r\u00e9v\u00e9l\u00e9 une vuln\u00e9rabilit\u00e9 au fournisseur. Que ce soit le cas ou non, cela r\u00e9v\u00e9lerait la vuln\u00e9rabilit\u00e9 du jour z\u00e9ro au public, souvent avec suffisamment de d\u00e9tails pour qu’un mauvais acteur puisse utiliser les informations pour cr\u00e9er des exploits. Finalement, Google a ajout\u00e9 une p\u00e9riode de gr\u00e2ce facultative que les \u00e9diteurs de logiciels pouvaient demander si un correctif \u00e9tait presque termin\u00e9.<\/p>\n

Les d\u00e9tracteurs affirment que le d\u00e9lai strict met le public en danger si l’entreprise travaille activement sur une solution, mais le probl\u00e8me est suffisamment compliqu\u00e9 pour ne pas \u00eatre r\u00e9solu en 90 jours. D’autres soulignent que certaines entreprises peuvent \u00eatre peu enclines \u00e0 cr\u00e9er un correctif sans la fen\u00eatre mat\u00e9rielle. La pression publique aide \u00e0 convaincre le fournisseur de logiciels d’agir l\u00e0 o\u00f9 il ne le ferait pas autrement.<\/p>\n

Trouver ce terrain d’entente est la partie difficile, et Google dit qu’il fera des ajustements pour r\u00e9pondre aux pr\u00e9occupations de la communaut\u00e9 de la s\u00e9curit\u00e9 au sens large. En 2021, il attendra 30 jours suppl\u00e9mentaires pour divulguer les d\u00e9tails d’une vuln\u00e9rabilit\u00e9 si un fournisseur publie un correctif avant la fin de la fen\u00eatre 90. L’id\u00e9e est de donner aux utilisateurs le temps d’installer les mises \u00e0 jour et de les prot\u00e9ger. Cependant, si un fournisseur demande une fen\u00eatre de gr\u00e2ce, cela rongera la fen\u00eatre de mise \u00e0 jour de 30 jours.<\/p>\n

C’est pour un cas o\u00f9 Google n’a pas d\u00e9couvert une vuln\u00e9rabilit\u00e9 d\u00e9j\u00e0 activement abus\u00e9e. Auparavant, lorsque cela se produisait, Google divulguait tous les d\u00e9tails dans les sept jours suivant la notification. \u00c0 l’avenir, il divulguera la vuln\u00e9rabilit\u00e9 apr\u00e8s sept jours, mais attendra de publier les d\u00e9tails techniques pendant 30 jours suppl\u00e9mentaires.<\/p>\n

Tout cela ne vaut que pour 2021 car l’ann\u00e9e prochaine, Google pr\u00e9voit de raccourcir l\u00e9g\u00e8rement toutes ses fen\u00eatres. \u00c0 partir de 2022, Project Zero passera \u00e0 un mod\u00e8le "84 + 28" – 84 jours pour la divulgation, plus 28 jours suppl\u00e9mentaires pour tous les d\u00e9tails. Project Zero esp\u00e8re que le raccourcissement des fen\u00eatres encouragera un d\u00e9veloppement plus rapide des correctifs. Il sugg\u00e8re \u00e9galement que le passage \u00e0 jours divisible par sept r\u00e9duit le risque qu’une \u00e9ch\u00e9ance tombe un week-end, lorsque les \u00e9diteurs de logiciels ont g\u00e9n\u00e9ralement des jours de cong\u00e9.<\/p>\n

Source: Projet Z\u00e9ro<\/a><\/p>\n

Source d’enregistrement: www.reviewgeek.com<\/a><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

Project Zero est une \u00e9quipe de Google charg\u00e9e de trouver des vuln\u00e9rabilit\u00e9s et de les signaler aux fabricants. Ce n’est pas sans controverse en raison de la publication occasionnelle des d\u00e9tails des vuln\u00e9rabilit\u00e9s avant un correctif. \u00c0 cette fin, Project Zero ajoutera un peu de temps \u00e0 sa p\u00e9riode de divulgation.<\/p>\n","protected":false},"author":1,"featured_media":177447,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[734,723,649,753],"tags":[],"class_list":["post-195082","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-divers","category-nouvelles","category-passe-temps","category-securite"],"_links":{"self":[{"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/posts\/195082","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/comments?post=195082"}],"version-history":[{"count":0,"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/posts\/195082\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/media\/177447"}],"wp:attachment":[{"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/media?parent=195082"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/categories?post=195082"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/geek.mediadoma.com\/fr\/wp-json\/wp\/v2\/tags?post=195082"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}