Google a ajouté une période supplémentaire de 30 jours à son cycle de divulgation des vulnérabilités pour donner aux clients plus de temps pour corriger les vulnérabilités avant que les détails techniques ne soient publiés.

L’équipe Project Zero du géant de la technologie est un chercheur prolifique des vulnérabilités de l’industrie et maintient une politique stricte de 90 jours de divulgation publique des vulnérabilités après notification du fournisseur, afin de faire pression sur les entreprises pour qu’elles émettent des correctifs plus rapidement.

«En pratique, cependant, nous n’avons pas observé de changement significatif dans les délais de développement des correctifs», a expliqué hier le manager Tim Willis. «Et nous avons continué à recevoir des commentaires des fournisseurs selon lesquels ils craignaient de publier publiquement des détails techniques sur les vulnérabilités et les exploits avant que la plupart des utilisateurs n’aient installé le correctif. En d’autres termes, le calendrier implicite d’adoption des correctifs n’a pas été clairement compris. »

La période de grâce supplémentaire de 30 jours avant la publication des détails ne s’appliquera qu’aux bogues corrigés dans la période initiale de 90 jours. Si un problème n’est toujours pas corrigé après 90 jours, les détails techniques sont publiés immédiatement.

Google a également ajouté la période de 30 jours aux correctifs pour les bogues activement exploités dans la nature contre les utilisateurs. Si un problème n’est toujours pas corrigé après sept jours, les détails techniques sont publiés immédiatement, mais s’il est résolu dans un délai d’une semaine, ces détails seront désormais publiés 30 jours après le correctif.

Willis a soutenu que la publication anticipée des détails entourant chaque bogue profite en fin de compte à la communauté défensive et aide à protéger les utilisateurs, mais il a reconnu que cela risquait également d’inviter des attaques opportunistes.

«Le passage à un modèle« 90 + 30 »nous permet de découpler le temps de mise à jour du temps d’adoption du patch, de réduire le débat controversé autour des compromis entre attaquants / défenseurs et le partage des détails techniques, tout en préconisant de réduire le temps nécessaire les utilisateurs sont vulnérables aux attaques connues », conclut-il.

Leave a Reply