«Project Zero ne partagera pas les détails techniques d’une vulnérabilité pendant 30 jours si un fournisseur la corrige avant la date limite de 90 ou 7 jours. La période de 30 jours est destinée à l’adoption des correctifs par les utilisateurs », a déclaré la société dans un article de blog.

L’équipe avait l’habitude de fournir une période de 90 jours après la publication d’un rapport de vulnérabilité, suivie d’une période de grâce de 14 jours, avant de publier les détails de la vulnérabilité. Désormais, si un problème n’est toujours pas corrigé après les 90 jours, Google publiera les détails immédiatement. Cela vise probablement à permettre aux utilisateurs de télécharger rapidement les correctifs, une fois qu’une entreprise les émet.

De plus, pour les vulnérabilités qui sont activement exploitées par des pirates informatiques, Google publiera des détails immédiatement si lesdits problèmes ne sont pas corrigés après 7 jours de leur signalement. Si le problème est résolu dans les 7 jours, Google attendra 30 jours avant de publier les vulnérabilités. La société n’offrait auparavant aucune période de grâce sur ces rapports, mais permettra aux fournisseurs de matériel et de logiciels de demander maintenant une période de grâce supplémentaire de trois jours.

L’équipe de Project Zero a déclaré que les changements visent à raccourcir le temps écoulé entre un rapport de bogue et son correctif mis à la disposition des utilisateurs. Il souhaite également garantir un «développement approfondi des patchs» et une «adoption améliorée des patchs» une fois qu’un patch est publié par le fournisseur concerné.

La décision de Google fait suite à une augmentation générale des problèmes de cybersécurité dans le monde l’année dernière. Selon un rapport de mars de l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In), les incidents de cybersécurité en Inde sont passés de 3,94,499 en 2019 à 11,58,208 en 2020, soit une augmentation de près de 200%.