Project Zero : Google assouplit (un peu) sa politique
lun, 16/02/2015 - 12:00
Depuis le début de l'année, Google a défrayé la chronique avec son Project Zero en publiant des failles zéro day, concernant des produits Microsoft, l'entreprise a d'ailleurs fini par en être courroucée, et Apple.
A la base, le Project Zero a pour but louable d'améliorer la sécurité informatique. Mais sa politique prévoit que si une faille découverte au sein d'un logiciel dans le cadre de ce projet n'est pas corrigée par l'éditeur dans les 90 jours, alors la faille est dévoilée au public, accompagné du moyen de l'exploiter.
Là où le bât a blessé, c'est que si donner publiquement le moyen d'exploiter une faille non corrigée est déjà discutable, Google révèle des failles même lorsque les éditeurs indiquent travailler à un correctif, et demandent un délai supplémentaire avant que la faille ne soit révélée. Jusqu'ici Google ne voulait rien entendre et restait inflexible.
Une rigidité fort déplaisante, surtout de la part d'une entreprise qui de son côté indique qu'elle ne corrigera pas une faille Android qui touche près d'un milliard d'utilisateurs, tout simplement parce que c'est trop difficile....
Sans doute soumise à pas mal de critiques et de pression, Google assouplit finalement ses règles. Un éditeur qui indique travailler à un correctif et demande un délai de grâce se verra accorder 14 jours supplémentaires par Project Zero. De plus Google ne dévoilera pas de failles les veilles de week-end et de jours fériés.
Quelle souplesse ... :-) Au fait, la faille Android ne sera toujours pas corrigée :-)