Sécurité

Google offre plus de temps avant de divulguer à tout le monde les bogues de logiciels tiers

Le Projet Zéro est une initiative de Google visant à rendre l’Internet plus sûr : une équipe de chercheurs se consacre à la recherche des failles de sécurité dans les logiciels tiers et à la notification des développeurs. À partir de ce moment, les fabricants ont 90 jours pour corriger la vulnérabilité. Si les détails de la violation sont rendus publics ou non après ce délai. This a contrarié Microsoft, et Google a annoncé qu’il allait modifier les règles du programme.

La première règle (et plus qu’équitable) est que si la période de 90 jours se termine pendant le week-end ou un jour férié américain, elle sera prolongée jusqu’au jour ouvrable suivant. L’autre est que les entreprises disposeront d’un délai supplémentaire : si le délai expire, mais qu’une correction doit déjà être publiée dans 14 jours, Google ne divulguera pas les détails publiquement ? cela, bien sûr, si le fabricant en donne un préavis.

Cette dernière règle devrait surtout profiter à Microsoft. Un bug de Windows 8.1 a été trouvé et signalé par Google le 13 octobre 2014. Sans correction, Google a publié les détails du bogue le 12 janvier 2015. Le problème est que Microsoft a un cycle de mise à jour défini : les correctifs sont publiés le deuxième mardi du mois. Et cette date est tombée le… Le 13 janvier 2015.

  Lenovo et Google annoncent un concurrent pour l'émission Amazon Echo Show (et avec YouTube)

Pour sa défense, Google affirme que d’autres entreprises ont des pratiques similaires : le CERT divulgue le manquement 45 jours après avoir informé les développeurs, Yahoo offre la même période de 90 jours et l’Initiative Zero Day donne 120 jours. L’idée est que, en imposant un délai, les fabricants sont plus agiles pour corriger leurs vulnérabilités. Google a également indiqué que ses produits, notamment Chrome et Android, sont soumis au même délai.

A propos de l'auteur

Zineb

Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

Laisser un commentaire