Les initiatives de sécurité poussent comme des champignons ces derniers temps. Il peut s'agir de restaurer la confiance après le scandale des écoutes massives de la NSA et de ses alliés, ou encore d'éviter la survenue d'un nouveau bug HeartBleed.

Google vient d'annoncer une nouvelle contribution dans ce domaine avec le Project Zero - ou Projet Zéro - et l'objectif de " réduire de manière significative " le nombre d'utilisateurs touchés par des attaques ciblées. En ligne de mire, les vulnérabilités 0-day afin de les identifier avant une exploitation malveillante.

Project Zero brasse large puisqu'il est question d'améliorer la sécurité pour n'importe quel logiciel avec un grand nombre d'utilisateurs. Ingénieur sécurité chez Google, Chris Evans parle aussi " d'améliorer la sécurité à travers l'Internet ". Un vœu pieux…

Tous les bugs de sécurité mis au jour dans le cadre de Project Zero seront publiés dans une base de données externe. Mais la démarche de divulgation sera responsable. Une vulnérabilité sera en effet d'abord uniquement signalée à l'éditeur concerné. Le rapport de bug ne sera public qu'une fois le patch disponible.

Cette base de données permettra aussi de connaître le temps de réactivité des éditeurs, sachant que dans le mesure du possible les vulnérabilités de sécurité leur seront communiquées en temps réel. Certains vont avoir la pression.

Mais ce qui différencie Project Zero d'une initiative déjà établie de longue date comme Zero-Day Initiative de HP est que les chercheurs en sécurité impliqués auront carte blanche pour plancher sur des mesures d'atténuation des risques pour des vulnérabilités. Qui plus est, ce sont des chercheurs en sécurité qui seront embauchés pour contribuer à temps plein au projet.


Des hackers d'élite
Google parle " des meilleurs " en la matière sans en dire plus. Wired évoque pour sa part une équipe de " hackers d'élite " et a fuité quelques noms en amont de l'annonce de Project Zero. Toujours en cours de constitution, la team secrète compte ainsi dans ses rangs Tavis Ormandy, un chercheur en sécurité britannique renommé qui travaille chez Google et a par le passé découvert des failles dans Windows ou encore dans l'antivirus de Sophos.

Pwn2Own-GeoHot D'autres noms évoqués sont celui du Néo-Zélandais Ben Hawkes présenté comme le découvreur en 2013 de dizaines de bugs de sécurité dans Flash Player et Microsoft Office, ainsi que Ian Beer. Ce dernier était notamment apparu dans les crédits pour la mise à jour de sécurité OS X 10.9.4 et iOS 7.1.2. On avait ainsi pu lire dans les notes de version : " Ian Beer du Projet Zero de Google ". Le mystère s'éclaircit aujourd'hui.

Mais le hacker probablement le plus connu du grand public de Project Zero est George Hotz alias geohot. Ce hacker américain serait le stagiaire de l'équipe. Il doit sa réputation au jailbreak d'iPhone et de la PlayStation 3. En mars dernier, on avait aussi pu l'apercevoir en vainqueur lors du concours de hacking Pwn2Own ( une attaque contre Firefox ) mais aussi, tiens, tiens... du Pwnium de Google pour un hack de Chrome OS avec une compromission durable après redémarrage. Un exploit pour lequel il avait touché 150 000 dollars.