En se retournant, on voit une entreprise qui répare une faille de sécurité découverte par un employé de Google. Le problème très sérieux d’OpenSSL, qui a permis le vol de données sensibles dans des millions de sites, a été découvert par Neel Mehta, ingénieur de Google. A la récente vulnérabilité de Flash a également été exposée par un ingénieur de recherche, Michele Spagnuolo. Et Google veut renforcer ces conclusions.
O Project Zero est une initiative de Google visant à découvrir les failles de sécurité dans les logiciels d’autres entreprises avant qu’ils ne deviennent publics. L’objectif est de rendre le web plus sûr, en évitant autant que possible l’apparition de vulnérabilités du jour zéro (ou “day zero”), celles qui sont exploitées avant que les entreprises ne puissent publier leurs correctifs de sécurité (le nom “Projet Zéro” a maintenant plus de sens, non ?).
Auparavant, les ingénieurs de Google utilisaient une partie de leur temps dans l’entreprise pour découvrir les défauts des logiciels tiers. Le Projet Zéro est différent car il sera constitué d’une équipe qui lui sera totalement dédiée : les employés travailleront à 100% à la découverte des failles de tout logiciel utilisé par un grand nombre de personnes. Google engage même des chercheurs en sécurité pour faire partie de l’équipe.
Mais pourquoi Google dépense-t-il de l’argent à chercher des défauts dans les logiciels d’autres personnes ? Ce n’est pas seulement un bon mojo : l’entreprise utilise des programmes tiers ? et elle peut aussi être blessée si une défaillance grave affecte ses services. Google lui-même et d’autres entreprises technologiques, dont Facebook, Microsoft et Intel, ont déjà uni leurs forces il y a quelques semaines pour créer un fonds d’un million de euros qui investira dans la sécurité des projets open source.
Dans le cadre du Projet Zéro, les lacunes constatées seront immédiatement signalées, de manière privée, au développeur du logiciel. Google promet d’être transparent et, une fois les bogues corrigés, veut rendre publiques des informations permettant de suivre les performances d’une entreprise, comme le temps moyen de correction d’une vulnérabilité et l’historique des bogues trouvés.
Google a créé un blog pour annoncer l’actualité du Projet Zéro, et vous pouvez trouver plus d’informations sur l’initiative sur cette page.
