Google a révisé son approche en matière de divulgation des vulnérabilités logicielles, dans le but d’accélérer l’adoption des correctifs. Project Zero, l’équipe de Google dédiée à l’identification des vulnérabilités de type “zero-day”, annoncera désormais l’existence d’une vulnérabilité une semaine après en avoir informé le fournisseur concerné. L’annonce comprendra des détails tels que le produit affecté, le fournisseur ou le projet open source responsable, la date de dépôt du rapport, et la date limite de divulgation, qui reste fixée à 90 jours. Cette politique vise à combler le “décalage de correctif en amont”, un retard entre la publication d’un correctif par un fournisseur et son intégration par les utilisateurs en aval. Bien que Google assure que cette nouvelle politique ne profitera pas aux attaquants, l’entreprise espère encourager une communication et un développement de correctifs plus rapides. La politique de divulgation 90+30 demeure, offrant 90 jours à un fournisseur pour résoudre le problème et 30 jours aux utilisateurs pour appliquer le correctif une fois disponible. Les premiers rapports excluront les détails techniques pour éviter tout usage malveillant. Ce changement s’inscrit dans un effort plus large visant à renforcer la sécurité des systèmes d’entreprise, alors que les vulnérabilités de type “zero-day” continuent de représenter des risques significatifs. Project Zero évaluera l’impact de ce changement de politique sur la sécurité globale des écosystèmes numériques.
Quel est l’impact de la nouvelle politique de Project Zero sur la divulgation des vulnérabilités ?
