Google veut sécuriser Internet avec Project Zero

Google vient d’annoncer une nouvelle équipe, composé de personnel talentueux, appelée Project Zero.

Sa mission principale est de trouver des vulnérabilités jour zéro, les plus dangereuses, et d’en informer l’éditeur, et uniquement l’éditeur, afin qu’il développe et distribue un correctif de sécurité.

Le périmètre d’action est volontairement large et flou. L’équipe s’attaquera à tout logiciel largement utilisé.

Il s’agit de défendre les utilisateurs contre les attaques des pirates criminels comme des pirates d’État.

 

Une industrie s’est déjà développée pour rechercher les vulnérabilités jour zéro, avec des entreprises sécurité comme VUPEN en France ou Endgame aux États-Unis.

VUPEN vend par exemple son catalogue de vulnérabilités 100 000 $ par an plus une somme supplémentaire par détail de la faille.

C’est pourquoi les États sont de grands consommateurs, et c’est ce qu’on reproche à ce type de firme, qui n’ont d’autre alternative pour se financer que les concours de chasse aux vulnérabilités organisés par les entreprises pour renforcer la sécurité de leurs produits.

 

Project Zero va singulièrement diminuer la viabilité de ces boutiques. Certains s’en réjouiront, mais il n’est pas dit que leur disparition rendra le monde plus sûr.

Elles trouvent déjà plus de failles que Project Zero, sans quoi elles seraient déjà en faillite. On peut donc éventuellement craindre que des vulnérabilités soient trouvées par des pirates travaillant exclusivement pour les États ou les criminels, et exploitées avant que Project Zero ne les trouve, si elle les trouve.

 

Google, qui recrute pour étoffer l’équipe, indique qu’elle travaillera aussi à d’autres aspects, comme la recherche sur les mesures d’atténuation, d’exploitation et d’analyse de programmes.

Elle affirme vouloir travailler de façon transparente, et renseigner à terme le public sur le temps mis par les éditeurs à corriger leurs failles de sécurité. Ce qui sera une excellente mesure si Google ne se privilégie pas.

 

Les révélations du dénonciateur Edward Snowden sur les excès de la NSA ont choqué le monde entier et porté un préjudice certain aux entreprises américaines de logiciels, de matériels et de services Cloud, les clients n’ayant plus confiance et craignant des portes dérobées pour la NSA.

C’est pourquoi les entreprises américaines redoublent d’effort pour augmenter leur crédibilité : du combat pour donner des statistiques sur les demandes d’informations des organisations gouvernementales au chiffrement généralisé des données en transit, de la création de centres de transparence à la création d’Interflow, et désormais de Project Zero.