Dans le cadre du programme Project Zero, censé rendre l’Internet plus sûr, Google donne 90 jours aux éditeurs de logiciels pour corriger des failles de sécurité découvertes par ses employés.
Passé ce délai, Google dévoile les failles de sécurité au grand public, l’idée étant que la honte de l’éditeur et les réclamations des clients l’incite à publier un correctif au plus vite.
Le problème est qu’une telle divulgation rend les failles de sécurité utilisables par toutes les personnes malveillantes, mettant en danger le plus grand nombre.
Et la limite de 90 jours, parfaitement arbitraire, ne tient pas compte de la complexité de tels correctifs dans le cas de systèmes existant depuis des décennies, et avec des centaines de millions d’utilisateurs.
C’est ainsi que Google a mis en danger tous les utilisateurs de Windows 8.1 en janvier 2015, Microsoft ayant publié son correctif avec un jour de retard sur les 90 jours.
Cette incroyable divulgation n’a été ni du goût de Microsoft, ni des nombreux experts de la sécurité.
Avec l’esprit de générosité qu’on lui connaît, la firme de Mountain View vient finalement d’accorder royalement 14 jours de plus aux éditeurs dans certaines conditions, comme on peut le lire sur le blogue de Project Zero :
« Si le délai de 90 jours expire, mais que le vendeur nous informe qu’un correctif doit être publié dans les 14 jours suivant, la divulgation sera retardée après la mise à disposition de ce dernier. La divulgation d’une faille de sécurité non corrigée ne s’effectuera désormais que si la date butoir est nettement dépassée (2 semaines ou plus). »
On n’en attendait pas moins de l’éditeur qui refuse de programmer des correctifs de sécurité pour les versions de son système d’exploitation Android qu’elle estime trop anciennes, mettant en danger quotidiennement des centaines de millions d’utilisateurs de smartphones.