Google introduit une période de grâce avant la divulgation de vulnérabilités
L’équipe de Google faisant partie du Project Zero a dû faire face à de nombreuses critiques durant ces derniers mois après les révélations sur les vulnérabilités critiques qui ont été décelées dans les systèmes d’exploitation édités par Microsoft et Apple qui n’ont pas été corrigées par les maisons mères.
Les informations sur les failles ont été portées à la connaissance du public après un délai de 90 jours conformément à leur politique de divulgation, mais ni Microsoft, ni Apple n’avait déjà réussi à colmater les failles en questions.
Par conséquent, le numéro un de la recherche a décidé de mettre à jour sa politique de divulgation dans le cadre du Project Zero d’une manière qui pourrait aider les développeurs de logiciels à avoir une espèce de « seconde chance » afin qu’ils aient le temps de produire des correctifs pour colmater les failles découvertes sur leur logiciel. L’équipe prévoit de leur fournir plus de temps pour le faire dans certaines circonstances.
Dans un communiqué publié sur le blog officiel de Google, les responsables du projet rappellent que le Projet Zero a opté pour un délai de divulgation de 90 jours et que ce délai s’est avéré relativement raisonnable. « Pour faire un état des lieux, nous avons compilé quelques données sur les divulgations effectuées dans le cadre du Project Zero à ce jour. Par exemple, l’équipe Adobe Flash est probablement celle qui a la plus grande base installée et le plus grand nombre de combinaisons de build de tous les produits que nous avons eu à étudier jusqu’ici. À ce jour, ils ont corrigé 37 vulnérabilités du Project Zero (soit 100%) dans un délai de 90 jours. De façon plus générale, des 154 vulnérabilités du Project Zero ayant reçu des correctifs jusqu’à présent, 85% ont été corrigé dans les 90 jours. Si nous prenons en considération les 73 failles qui ont été signalées et corrigées après le 1 octobre 2014, nous obtenons 95% de correction dans les 90 jours ». En outre, l’équipe fait savoir que les récents problèmes dans la disponibilité des corrections des failles qui étaient liés aux délais demandaient généralement un peu plus de temps que ces 90 jours.
Voici les concessions que Google propose. Tout d’abord une extension du délai dans le cas où il devrait arriver à expiration un weekend ou un jour férié aux USA. Dans ce cas, le délai sera simplement prolongé jusqu’au jour ouvrable qui suit.
Google propose également ce qu’il appelle une « période de grâce » : un délai supplémentaire de 14 jours sera octroyé aux vendeurs qui en font la demande en expliquant qu’un correctif est prévu au courant des deux semaines qui doivent suivre le délai.
En dernier lieu, Google tient à s’assurer que les vulnérabilités soient identifiées de manière unique par le standard CVE pour toutes les vulnérabilités qui auront dépassé le délai des 90 jours pour être corrigées.
« Comme d’habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières. Nous demeurons engagés à traiter chaque vendeur de la même manière. Google s’attend à être tenu par les mêmes normes. D’ailleurs, le Projet Zero a détecté des bugs dans le pipeline pour des produits de Google (Chrome et Android) et ils sont sujets à la même politique sur les dates limites »
Source : blog Google & Clubic