Pour faire suite à la découverte, en avril 2014, de la faille Heartbleed par l'équipe de sécurité de Google, le géant de l'Internet a décidé de mettre sur pied un groupe de recherche en interne qui aura pour mission de débusquer les vulnérabilités dans les logiciels Web.
Le groupe va tester les méthodes et les techniques utilisées par les pirates sur les logiciels pour mieux les contrer et réduire le nombre de cyberattaques ciblées. « Chacun devrait pouvoir utiliser le Web sans craindre qu'un malware exploite une faille logicielle pour infecter son ordinateur, voler ses données ou surveiller ses communications », a écrit hier le chercheur en sécurité de Google, Chris Evans dans un blog où est annoncé le Project Zero. « Des attaques sophistiquées continuent à exploiter des vulnérabilités « zero-day » pour cibler des militants des droits de l'homme ou pour faire de l'espionnage industriel. Cela doit cesser. Nous pensons que l'on peut faire plus pour résoudre ce problème », a-t-il encore écrit.
Plus tôt cette année, un chercheur de Google - avec des ingénieurs de la société finlandaise Codenomicon - avait trouvé la faille Heartbleed dans la bibliothèque de cryptographie OpenSSL, exposant des millions de sites à des attaques potentielles. Google veut financer des recherches comme celle qui a permis de débusquer la faille Heartbleed. Pour cela, l'entreprise de Mountain View a rassemblé une équipe de chercheurs autour de son Project Zero et prévoit de recruter d'autres experts en sécurité pour les affecter à temps plein au projet.
La recherche de failles fait aussi partie des attributions de l'équipe Project Zero
« Notre objectif est de réduire de façon significative le nombre de personnes victimes d'attaques ciblées », écrit encore Chris Evans. L'équipe de Project Zero travaillera essentiellement sur les techniques et les technologies utilisées par les cybercriminels. En outre, les chercheurs vont aussi chercher des moyens de protéger les utilisateurs contre ces attaques, grâce notamment à certaines techniques d'analyse de programmes utilisées pour identifier les failles.
Le groupe consacrera aussi une partie de son temps à rechercher de nouvelles failles dans les logiciels qui pourraient être exploitées par des attaquants malveillants pour s'introduire de façon illégale dans les systèmes informatiques. En général, les vulnérabilités dites «zero-day» sont exploitées par les cybercriminels le jour où elles sont rendues publiques, obligeant les éditeurs à se démener pour livrer un correctif dans les plus brefs délais. Project Zero va permettre de créer une base de données externe de tous les bugs identifiés par les chercheurs du projet. Elle sera accessible aux éditeurs ou autres tierces parties chargées du support des logiciels. Google n'est pas la seule entreprise à avoir mis sur pied une équipe d'intervention pour protéger la sécurité sur le Net. L'initiative TippingPoint menée par Hewlett-Packard permet également de recueillir des informations sur les vulnérabilités logicielles. Le département de la sécurité intérieure américain tient aussi à jour la base de données Common Vulnerability Scoring System, un système de notation largement utilisé pour pister les vulnérabilités et évaluer leur gravité potentielle.