Project Zero de Google lâche un peu de lest

Project Zero de Google lâche un peu de lest

624
0
PARTAGER

Le Project Zero de Google assouplit sa politique de révélation des failles de sécurité non corrigées. Une initiative qui ne satisfait toujours pas Microsoft.

Le Project Zero, qui voit des ingénieurs de Google étudier le code de tous types de logiciels pour y dénicher des vulnérabilités, assouplit ses règles de divulgation des failles de sécurité informatique non corrigées, et potentiellement exploitables, dites failles « zero day ». Selon la nouvelle politique énoncée vendredi dernier par voie de blog, l’équipe du projet accordera un délai de 14 jours supplémentaires à tout éditeur qui fera savoir à Google qu’il est sur le point de sortir son correctif de sécurité. Concrètement, cela allongera de deux semaines la durée de rétention de l’information, jusqu’alors fixée à 90 jours.

Autre évolution, les failles zero day ne seront plus divulguées la veille d’un jour non ouvré (week-end, jour férié aux Etats-Unis) mais attendront le prochain jour travaillé pour être rendues publiques. Enfin, Google vérifiera également que les CVE (la norme permettant d’assigner une référence unique à chaque faille de sécurité) auront bien été pré-assignées pour les failles dépassant la période de rétention de l’information. Une manière d’éviter toute confusion sur la faille désignée, selon Google.

Commentaires