Google Project Zero, une équipe d'experts en sécurité employée par le géant de la recherche avec pour mission de traquer les vulnérabilités logicielles Zero Day, a mis à jour ses directives de divulgation des vulnérabilités.
La politique mise à jour ajoute une fenêtre supplémentaire de 30 jours pour certaines divulgations de bogues de sécurité. Avant cela, les chercheurs de Google publiaient les détails des vulnérabilités sur leur outil de suivi des bogues en ligne à la fin d'une fenêtre de 90 jours, ou après la correction du bogue.
Plus long à patcher
Le mois supplémentaire (environ) donne aux fournisseurs et aux utilisateurs un peu plus de temps pour développer, partager et installez les correctifs nécessaires pour leur logiciel avant que les détails de la vulnérabilité ne soient partagés en ligne. C'est une bonne nouvelle car au moment où les détails de la vulnérabilité sont partagés en ligne, ils pourraient potentiellement être utilisés par des attaquants.
Bien que les correctifs aient le plus souvent été publiés au moment où les détails de la vulnérabilité sont publiés, cela dépend toujours des utilisateurs qui ont installé les correctifs eux-mêmes. Dans certains cas, cela peut être une tâche chronophage. Les 30 jours supplémentaires de Google sont donc une bonne nouvelle.
«L'objectif de notre mise à jour de la politique 2021 est de faire du calendrier d'adoption des correctifs une partie explicite de notre politique de divulgation des vulnérabilités», a déclaré Tim Willis de Project Zero Vendors dans un article de blog décrivant le changement. "Les fournisseurs disposeront désormais de 90 jours pour le développement des correctifs et de 30 jours supplémentaires pour l'adoption des correctifs."
Project Zero étend en outre la période de grâce supplémentaire de 30 jours à vulnérabilités zero day qui sont activement exploités contre les utilisateurs dans la nature. Alors que la date limite de divulgation n'est que de sept jours pour le correctif, les détails techniques ne seront publiés que 30 jours après le correctif tant que le problème est résolu par les développeurs. Sinon, les détails techniques seront publiés immédiatement.
Étendues aux vulnérabilités Zero Day, aussi
Ces nouvelles règles s'appliqueront en 2021, même si les choses pourraient encore changer à l'avenir. Comme le note l'article de blog: "Notre préférence est de choisir un point de départ qui peut être constamment respecté par la plupart des fournisseurs, puis de réduire progressivement les délais de développement et d'adoption des correctifs."
Obtenir ce type de divulgation est un travail difficile, trouver un équilibre entre les meilleurs intérêts des utilisateurs et donner aux développeurs suffisamment de temps pour développer et publier un correctif. Comme l'équipe de Project Zero le sait clairement, c'est un domaine qui continuera d'être modifié à mesure que la cybersécurité et les mesures de correctif se développeront.
Pour l'instant, cependant, vous auriez du mal à suggérer que les experts en sécurité de Google ne font pas la bonne chose.
Crédit d'image: Mitchell Luo /Unsplash CC
Mettez à jour vos systèmes Windows pour vous protéger contre les vulnérabilités critiques.
Lire la suite
- Actualités techniques
- La cyber-sécurité
Luke est un fan d'Apple depuis le milieu des années 1990. Ses principaux intérêts en matière de technologie sont les appareils intelligents et l'intersection entre la technologie et les arts libéraux.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!
Un pas de plus…!
Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.
