Le Projet Zero de Google se durcit contre les entreprises avec des politiques de correctifs de sécurité laxistes

Google Inc. a une équipe d’élite de hackers et de programmeurs appelée Projet Zero, ainsi nommée d’après les failles de sécurité « zero day » qui sont exploitées avant que les développeurs n’en aient connaissance.

Le Projet Zero examine son propre logiciel ainsi que celui de ses concurrents à la recherche de failles de sécurité, donnant aux entreprises un délai, plus précisément un ultimatum de 90 jours pour corriger leurs vulnérabilités logicielles, sinon elles les rendront publiques.

Dans un effort pour « motiver » des concurrents comme Microsoft Corp. et Apple Inc. à corriger leur logiciel bogué avant que de véritables cybercriminels ne profitent des failles dans leur code non corrigé. Bien sûr, Microsoft et Apple ne sont pas ravis de cela.

Les opposants à la pratique du Projet Zero de Google affirment qu’elle met en danger la sécurité en ligne en révélant des lacunes avant qu’elles ne puissent être comblées. Bien sûr, les hackers informés agissent rapidement pour exploiter délibérément les failles logicielles lorsqu’elles deviennent connues.

Considérez lorsque les intrus soutenus par la Chine ont exploité une faille de sécurité Web connue sous le nom de Heartbleed pour attaquer Community Health Systems Inc. seulement une semaine après que la faille logicielle ait été rendue publique.

Même, Apple a supplié Google d’attendre avant de rendre public afin qu’il puisse corriger ses failles dans le système d’exploitation Mac OS X. Google savait que le correctif était en cours et avait en sa possession le logiciel source mis à jour car il servait également de développeur pour Apple à l’époque. Google a refusé et a publié tous les détails des failles au public. Microsoft, également, a demandé un délai supplémentaire pour corriger une faille dans son système d’exploitation Windows. Google, encore une fois, a refusé et a rendu le bogue public.

Les partisans de Google affirment que l’approche stricte de 90 jours du Projet Zero peut inciter l’industrie du logiciel à se concentrer sur de meilleures pratiques de correction de sécurité, alors que les entreprises peuvent prendre des mois ou des années pour corriger leurs bogues.

À ce jour, le Projet Zero de Google a identifié 39 vulnérabilités dans les produits Apple et 20 dans les produits Microsoft. L’équipe a également trouvé 37 failles dans le logiciel d’Adobe Systems Inc. et 22 dans la bibliothèque de développement logiciel FreeType pour le rendu des polices.

C’est une bonne chose pour les consommateurs que le Projet Zero de Google ait pris le rôle de maître de tâche « corrigez-le ou nous le rapporterons », car de nombreux produits de ces entreprises peuvent laisser les utilisateurs vulnérables à des attaques qui peuvent créer plus de chagrin et de problèmes plus profonds s’ils ne sont pas maîtrisés.

Le Projet Zero a juste tracé la ligne dans le sable, la façon dont les entreprises concernées réagiront à cela déterminera quels produits vous pouvez vraiment faire confiance avec vos données à l’avenir.