Google revoit sa politique concernant le repérage des failles de sécurité sur les sites, applications etc.

Google revoit sa politique concernant le repérage des failles de sécurité sur les sites, applications etc.

La firme de Mountain View, et plus précisément sa division “Project Zero”, laisse désormais un délai de 90 jours pleins aux éditeurs pour corriger une vulnérabilité “zero-day”.

Le Project Zero de Google écume les programmes, applications et sites web à la recherche de failles n’ayant fait l’objet d’aucun correctif (ou “zero-day”), puis informe les éditeurs des programmes concernés pour qu’ils remédient au problème. Auparavant, un délai de 90 jours était accordé aux développeurs pour corriger la vulnérabilité (souvent critique), puis Google révélait cette faille, qu’elle soit corrigée ou non. Le géant américain semble avoir décidé de faire preuve de plus de clémence.

En effet, révéler la faille alors qu’elle n’est pas corrigée peut entraîner des attaques sur les services ou programmes concernés. De même, si le correctif est développé en 90 jours, il faudra parfois attendre les 90 jours entiers pour être déployé sur tous les appareils. Et la firme de Mountain View pouvait parfois rendre la faille publique dès que le correctif était déployé, sans même attendre le déploiement complet et entraînant le risque d’exploitation de la faille.

Cela changera, puisque Google annonce que ce délai de 90 jours sera respecté quoi qu’il arrive avant de dévoiler une faille zero-day. Si une solution est développée avant, un accord mutuel devra être trouvé pour que la faille soit rendue publique. Contrairement à la méthode précédente, qui sonnait comme une épée de Damoclès au-dessus de la tête des développeurs, cette nouveauté en test cette année permettra une plus large marge de manoeuvre pour les développeurs.

Cependant, cela ne concerne que les failles jamais corrigées. Les bugs déjà exploités devront toujours être corrigés dans un délai maximum de sept jours sans quoi ils seront rendus publics. Et Google veut rassurer les utilisateurs en expliquant que 97.7% des découvertes du Project Zero seraient corrigées avant la fin du délai.

Source : XDA-Developers via Frandroid