Sécurité IT : faut-il vraiment 52 jours pour corriger une faille ?

L’équipe Project Zero annonce un délai moyen de 52 jours pour corriger les failles de sécurité. D’où provient cet indicateur ?

La « politique des 90 jours » a-t-elle fait son effet ? Project Zero, l’équipe de « chercheurs de failles » montée par Google, n’est pas si catégorique. Mais elle laisse entendre que les éditeurs n’y sont pas restés insensibles.

En quoi consiste cette politique ? Dans les grandes lignes, tout éditeur auquel Project Zero signale une vulnérabilité a 90 jours pour la corriger. Sans quoi elle est rendue publique, avec les détails techniques.

Une telle pression est susceptible de conduire les éditeurs à prioriser ces alertes, reconnaît Project Zero*. Ils sont toutefois mieux équipés pour réagir, estime l’équipe de chercheurs. Elle en veut pour preuve la diminution globale du délai entre le signalement des failles et leur colmatage. En l’occurrence, 52 jours en moyenne.

Cet indicateur découle de l’analyse des 376 failles que Project Zero a fait remonter entre janvier 2019 et décembre 2021. Environ 84 % ont fait l’objet d’une correction sous 90 jours. Sur l’ensemble de l’échantillon corrigé, les délais moyens s’établissent comme suit :

– Linux : 25 jours (32 en 2019 ; 22 en 2020 ; 15 en 2021)
– Google : 44 jours (49 en 2019 ; 22 en 2020 ; 53 en 2021)
– Mozilla : 46 jours
– Adobe : 65 jours
– Apple : 69 jours (71 en 2019 ; 63 en 2020 ; 64 en 2021)
– Samsung : 72 jours
– Microsoft : 83 jours (85 en 2019 ; 87 en 2020 ; 76 en 2021)

Le délai moyen est un peu plus long pour les OS mobiles. On en est à 70 jours sur iOS (pour 76 failles). Et à 72 sur Android (10 failles sur des Samsung, 6 sur des Pixel). Le différentiel du nombre de vulnérabilités est lié au fait que sur iOS, plusieurs applications (FaceTime, Safari, iMessage…) sont mises à jour avec le système.

Qu’en est-il pour les navigateurs ? Sur Chrome, le délai s’est établi à environ 30 jours (5 pour publier un correctif + 25 pour l’intégrer). Firefox en est à environ 38 jours (17 pour publier + 21 pour intégrer).

* Project Zero invite les éditeurs à produire leurs propres chiffres.