Project Zero : Google dévoilera les failles de sécurité après 114 jours

Plutôt que de laisser 90 jours aux éditeurs pour corriger les failles de sécurité découverte, le Project Zero de Google a décidé de relâcher la pression en ajoutant deux semaines supplémentaires.

C’est dans le but de pousser les éditeurs à colmater les failles de sécurité que l’équipe Project Zero de Google a fixé une limite de 90 jours avant de divulguer les détails d’une vulnérabilité. La durée de rétention de l’information vient d’être prolongée de deux semaines.

De plus, les failles ne seront plus divulguées la veille d’un jour non ouvré, c’est-à-dire le week-end et les jours fériés aux États-Unis.

Dans le but d’éviter toute confusion, Google s’engage à vérifier que les CVE, la norme attribuant une référence unique à chaque faille de sécurité, soient préalablement assignées aux vulnérabilités dépassant la période de rétention.

Google précise que 85% des 154 failles découvertes par le Project Zero en 2014 ont été corrigée dans le délai des 90 jours. Adobe, star en la matière, a corrigé l’intégralité des 37 vulnérabilités découvertes dans le délai imparti.

Alors qu’une polémique avait éclaté entre Microsoft et le Project Zero au sujet de la divulgation des détails d’une faille quelques jours avant le déploiement du correctif, la firme de Redmond accueille favorablement la nouvelle politique de Google tout en maintenant son avis au sujet d’un délai qui est « globalement opposé ».

Pour Chris Betz, responsable du Microsoft Security Response Center (MSRC), « Nous sommes en désaccord avec les délais arbitraires, car chaque problème de sécurité est unique. La période de mise à jour et de test varie […] Révéler une faille avant la publication du correctif décuple les risques qui pèsent sur les utilisateurs ».

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentRosetta a frôlé Tchouri pour la Saint-Valentin
Article suivantCarbanak : un malware qui pourrait couter 1 milliard de dollars aux banques

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here