Initié l'été dernier, Project Zero de Google a été au cœur d'une polémique après une réaction épidermique de Microsoft. Google a fait la sourde oreille à une requête de Microsoft lui demandant de patienter seulement deux petits jours avant de publier à la vue de tous des détails techniques d'une vulnérabilité affectant Windows 8.1.
Project Zero a ainsi aveuglément respecté sa politique de divulgation publique d'une vulnérabilité de sécurité, soit 90 jours après avoir prévenu l'éditeur concerné et pas un de plus. Pourtant, une attente de deux jours aurait permis à Microsoft la diffusion du correctif idoine dans le cadre du Patch Tuesday.
D'autres failles dans des produits Microsoft ont été ou sont dans le même cas (une divulgation publique alors qu'il n'y a pas de correctif disponible), et OS X d'Apple n'a également pas échappé à la rigueur de Project Zero.
Google vient de mettre un petit peu d'eau dans son vin en assouplissant sa politique de divulgation publique. Notamment, un éditeur pourra obtenir un délai de grâce supplémentaire de 14 jours s'il informe Google avant la date butoir des 90 jours qu'un correctif est programmé.
En outre, Project Zero ne divulguera pas de vulnérabilités pendant les week-ends ou les jours fériés (aux États-Unis). Comme précédemment, Google se réserve toujours le droit dans des cas de force majeure d'avancer ou retarder une divulgation publique.
Des bugs de sécurité affectant des produits Google sont traités de la même manière, à l'instar de Chrome et Android. Reste que la plus grande flexibilité introduite dans Project Zero ne règle pas le cœur du problème pour Chris Betz de Microsoft. Mais ce n'est pas un scoop, la firme de Redmond a toujours critiqué les divulgations de 0-day et ne change pas d'avis.
Project Zero comprend des hackers d'élite mais ce n'est pas la seule initiative à appliquer une politique de divulgation publique une fois un certain délai écoulé après la notification de l'éditeur. C'est aussi le cas de Zero Day Initiative de HP, un précurseur en la matière, qui applique une politique de 120 jours.
Le but recherché est d'inciter les éditeurs à réagir rapidement mais c'est une pression qui peut être mal vécue. Certains patchs sont plus difficiles que d'autres à élaborer. Un cas récent est le bug JASBUG qui a été signalé confidentiellement à Microsoft et pour lequel le correctif a mis plus d'un an à venir.
Pour Project Zero, Google indique que sur 154 bugs signalés dans des produits, 85 % ont été corrigés dans les 90 jours impartis. C'est même du 100 % pour des vulnérabilités dans Flash Player... ce qui n'empêche pas pour autant les 0-day venues d'ailleurs.
