Passer au contenu

Sécurité : Google rallonge (un peu) le délai avant de révéler une faille critique

S’ils préparent un patch pour corriger une faille, Google laissera désormais 104 jours aux éditeurs avant de rendre cette vulnérabilité publique dans le cadre de son Projet Zero.

Jusqu’à présent, lorsque les experts en sécurité du Project Zero de Google découvraient une faille dans un logiciel, ils prévenaient l’éditeur et lui laissaient 90 jours pour publier un correctif. Tout en justifiant sa politique, tournée vers la protection des utilisateurs, la firme de Mountain View vient d’annoncer qu’elle allait porter ce délai à 104 jours.

Ce délai de grâce de quatorze jours ne sera toutefois pas accordé à tous les éditeurs : ils devront prouver à Google qu’un patch est en cours d’élaboration. 

Par ailleurs, la publication des informations concernant une faille ne se fera pas pendant un week-end ou un jour férié (aux Etats-Unis), mais le lendemain. Enfin, s’il y a divulgation de faille, celle-ci devra bénéficier d’un bulletin CVE (la norme permettant identifier chaque vulnérabilité) ce qui n’était pas le cas jusqu’à présent.

Cela dit, Google rappelle que Project Zero a permis la résolution de 154 « bugs » dont 85 % dans le délai des 90 jours. « Le temps est la donnée essentielle lorsque nous découvrons une vulnérabilité, explique l’équipe en charge du projet. Plus vite nous intervenons, moins il y aura de dégâts. »

Cet assouplissement de la politique de Google tombe à point nommé pour faire retomber la tension née par les révélations de deux failles dans Windows 8.1. La firme de Redmond n’avait pas apprécié que l’une de ces vulnérabilités soit révélée juste avant la publication de son Patch Tuesday de janvier.

A lire aussi :
Google révèle trois failles zero-day critiques dans Mac OS X, paru le 23/1/2015

Source : Google

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Cécile Bolesse