La « politique des 90 jours » a-t-elle fait son effet ? Project Zero, l’équipe de « chercheurs de failles » montée par Google, n’est pas si catégorique. Mais elle laisse entendre que les éditeurs n’y sont pas restés insensibles.
En quoi consiste cette politique ? Dans les grandes lignes, tout éditeur auquel Project Zero signale une vulnérabilité a 90 jours pour la corriger. Sans quoi elle est rendue publique, avec les détails techniques.
Une telle pression est susceptible de conduire les éditeurs à prioriser ces alertes, reconnaît Project Zero*. Ils sont toutefois mieux équipés pour réagir, estime l’équipe de chercheurs. Elle en veut pour preuve la diminution globale du délai entre le signalement des failles et leur colmatage. En l’occurrence, 52 jours en moyenne.
Cet indicateur découle de l’analyse des 376 failles que Project Zero a fait remonter entre janvier 2019 et décembre 2021. Environ 84 % ont fait l’objet d’une correction sous 90 jours. Sur l’ensemble de l’échantillon corrigé, les délais moyens s’établissent comme suit :
– Linux : 25 jours (32 en 2019 ; 22 en 2020 ; 15 en 2021)
– Google : 44 jours (49 en 2019 ; 22 en 2020 ; 53 en 2021)
– Mozilla : 46 jours
– Adobe : 65 jours
– Apple : 69 jours (71 en 2019 ; 63 en 2020 ; 64 en 2021)
– Samsung : 72 jours
– Microsoft : 83 jours (85 en 2019 ; 87 en 2020 ; 76 en 2021)
Le délai moyen est un peu plus long pour les OS mobiles. On en est à 70 jours sur iOS (pour 76 failles). Et à 72 sur Android (10 failles sur des Samsung, 6 sur des Pixel). Le différentiel du nombre de vulnérabilités est lié au fait que sur iOS, plusieurs applications (FaceTime, Safari, iMessage…) sont mises à jour avec le système.
Qu’en est-il pour les navigateurs ? Sur Chrome, le délai s’est établi à environ 30 jours (5 pour publier un correctif + 25 pour l’intégrer). Firefox en est à environ 38 jours (17 pour publier + 21 pour intégrer).
* Project Zero invite les éditeurs à produire leurs propres chiffres.
Illustration principale © Siarhei – Adobe Stock
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
