Divulgation de vulnérabilités : Google introduit une période de grâce de 14 jours

L’équipe de sécurité Google Zero ne divulguera plus automatiquement les détails d’une vulnérabilité après 90 jours, une période de grâce de 14 jours vient d’être ajoutée.

Jusqu’à présent, l’équipe de sécurité Google Zero divulguait les détails d’une vulnérabilité 90 jours après avoir prévenu l’éditeur, que celui-ci ait publié un correctif ou pas. À l’instar de la divulgation d’une faille affectant Windows 7 et Windows 8.1 deux jours avant le déploiement d’un patch, cette manière de procéder ne fait pas l’unanimité.

On notera que Google Zero n’est pas seul à agir de la sorte vu que le CERT les divulgue après 45 jours, Yahoo! après 90 jours et le Zero Day Initiative après 120 jours.

Cette manière de procéder semble avoir des effets positifs vu que Google, sur un de ses blogs officiels, préciser que 85% des vulnérabilités identifiées en 2014 ont été patchées dans les 90 jours, même 90% depuis le 1er octobre.

Malgré que cela encourage un suivi plus strict du logiciel, Google a tout de même décidé d’assouplir un peu sa règle de divulgation en ajoutant une période de grâce de 14 jours.

Cette période de 14 jours supplémentaires sera octroyée aux éditeurs qui auront contacté Google durant la période des 90 jours pour et qui promettent de publier un correctif dans les deux semaines suivant ce délai.

Il est à préciser que Google Zero précise que les bugs et failles repérées dans Chrome et Android sont assujettis à la même politique.