Divulgation de vulnérabilités : Google introduit une période de grâce de 14 jours

L’équipe de sécurité Google Zero ne divulguera plus automatiquement les détails d’une vulnérabilité après 90 jours, une période de grâce de 14 jours vient d’être ajoutée.

Jusqu’à présent, l’équipe de sécurité Google Zero divulguait les détails d’une vulnérabilité 90 jours après avoir prévenu l’éditeur, que celui-ci ait publié un correctif ou pas. À l’instar de la divulgation d’une faille affectant Windows 7 et Windows 8.1 deux jours avant le déploiement d’un patch, cette manière de procéder ne fait pas l’unanimité.

On notera que Google Zero n’est pas seul à agir de la sorte vu que le CERT les divulgue après 45 jours, Yahoo! après 90 jours et le Zero Day Initiative après 120 jours.

Cette manière de procéder semble avoir des effets positifs vu que Google, sur un de ses blogs officiels, préciser que 85% des vulnérabilités identifiées en 2014 ont été patchées dans les 90 jours, même 90% depuis le 1er octobre.

Malgré que cela encourage un suivi plus strict du logiciel, Google a tout de même décidé d’assouplir un peu sa règle de divulgation en ajoutant une période de grâce de 14 jours.

Cette période de 14 jours supplémentaires sera octroyée aux éditeurs qui auront contacté Google durant la période des 90 jours pour et qui promettent de publier un correctif dans les deux semaines suivant ce délai.

Il est à préciser que Google Zero précise que les bugs et failles repérées dans Chrome et Android sont assujettis à la même politique.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentSiri comprend mieux que Cortana et Google Now
Article suivantiPhone 4 : une jeune femme meurt électrocutée dans son bain

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here