Project Zero : Google lâche un peu de lest
publié le 16 février 2015 à 19h00, modifié le 16 février 2015 à 22h14.
Google a annoncé que le délai de divulgation des failles de sécurité de ses concurrents dans le cadre du Project Zero allait être allongé.
On vous parlait il y a quelques semaines des vives tensions qui étaient nées entre Google et Microsoft à cause de la divulgation d’une faille de sécurité dans le cadre du Project Zero de Google. La pression devrait un peu retomber entre les deux mastodontes puisque Google a annoncé aujourd’hui qu’il allait assouplir les règles de sa politique de divulgation des failles de sécurité.
Le Project Zero vecteur de tension
Petit rappel pour ceux du fond qui ne suivent pas. Le Project Zero a été créé par les équipes d’experts en sécurité de Google. Quand les ingénieurs en sécurité de Mountain View découvrent de nouvelles vulnérabilités dans des logiciels ou des services web, ils préviennent immédiatement la société incriminée. Cette dernière a alors 90 jours pour corriger ladite faille sans quoi Google la dévoile au grand public et la jette dans le même temps en pâture aux hackers.
C’est ce délai non-négociable de 90 jours qui posait problème, notamment lorsque Google dévoile les détails d’une faille de sécurité sur Windows 8.1 le 11 janvier 2015 (au terme du délai de 90 jours), à seulement 4 jours du traditionnel Patch Tuesday de Redmond. De quoi irriter Microsoft qui aurait aimé que Google soit un peu plus patient et surtout moins péremptoire.
Google lâche du lest
Mountain View semble avoir entendu le message puisque la firme a déclaré qu’elle avait mis en place une « période de grâce » de 14 jours supplémentaire à la suite des trois premiers mois à la condition que les services incriminés fournissent la preuve du développement d’un correctif. Google, dans sa grande bonté, a également affirmé que ses ingénieurs ne dévoileraient plus les failles les weekends et les jours fériés… Seigneur, vous êtes trop bon !
Microsoft n’a pas tardé à réagir à cette nouvelle par le biais d’un communiqué d’un directeur de sa sécurité, Chris Betz, qui juge les efforts de Google insuffisants et précise que toutes les failles ne se valent pas et peuvent nécessiter un délai plus ou moins long avant d’être résolues.