En janvier, l'équipe du Project Zero de Google s'était attiré les foudres de Microsoft pour avoir révélé plusieurs failles dans Windows quelques jours avant que l'éditeur de Redmond ait eu le temps de publier des correctifs, alors même que la firme de Redmond avait demandé à Google d'attendre un peu. Quelques jours plus tard, Apple se retrouvait dans le même cas de figure avec la révélation de vulnérabilités non corrigées dans OS X. Cette succession d'incidents a finalement amené Google à revoir sa politique de divulgation de failles pour l'adapter aux circonstances, ainsi que Project Zero vient de l'expliquer dans un billet.
Constituée en juillet 2014 par Google, cette équipe d'experts en sécurité traque les failles « zero day » dans les logiciels les plus utilisés et les signale à leurs éditeurs afin qu'ils puissent les corriger. Un délai de 90 jours est fixé, à l'issue duquel la faille est révélée à l'ensemble des utilisateurs, qu'un correctif ait été publié ou non. Désormais, Project Zero va prendre en compte d'autres éléments et modifier sa politique de divulgation sur trois points. Premièrement, si la date limite doit expirer un week-end ou un jour de congé aux Etats-Unis, elle sera déplacée au jour travaillé suivant. Deuxièmement, une période « de grâce » de 14 jours est instaurée. « Si la date limite de 90 jours va expirer mais qu'un fournisseur nous fait savoir auparavant qu'un correctif doit être publié dans les 14 jours après la deadline, la divulgation publique sera différée jusqu'à la disponibilité du correctif ». Dorénavant, la révélation publique d'une faille non corrigée se fera donc uniquement si la disponibilité du patch est prévue plus de deux semaines après la date limite.
Attribution d'une référence CVE
Enfin, troisième modification, la communication publique d'une faille comportera dès le départ la mention d'une référence CVE (Common Vulnerabilities and Exposures), mode d'identification standard utilisé par l'industrie pour pouvoir échanger des informations autour des failles. « Pour les vulnérabilités qui ont dépassé la date limite, nous nous assurerons qu'un CVE a été pré-attribué », indique Project Zero.
L'équipe de Google précise qu'elle se réserve toujours le droit de déplacer une date limite en fonction de circonstances extrêmes. Elle rappelle aussi qu'elle traite tous les éditeurs sur un strict pied d'égalité et que Google lui-même est logé à même enseigne. « En fait, Project Zero a dans son pipeline plusieurs bugs concernant les produits Google (Chrome et Android) et ils sont soumis à la même politique de deadline », souligne l'équipe. L'objectif est avant tout d'améliorer les temps de réponses de l'industrie informatique sur la résolution des bugs de sécurité.