La « politique des 90 jours » a-t-elle fait son effet ? Project Zero, l’équipe de « chercheurs de failles » montée par Google, n’est pas si catégorique. Mais elle laisse entendre que les éditeurs n’y sont pas restés insensibles.
En quoi consiste cette politique ? Dans les grandes lignes, tout éditeur auquel Project Zero signale une vulnérabilité a 90 jours pour la corriger. Sans quoi elle est rendue publique, avec les détails techniques.
Une telle pression est susceptible de conduire les éditeurs à prioriser ces alertes, reconnaît Project Zero*. Ils sont toutefois mieux équipés pour réagir, estime l’équipe de chercheurs. Elle en veut pour preuve la diminution globale du délai entre le signalement des failles et leur colmatage. En l’occurrence, 52 jours en moyenne.
Cet indicateur découle de l’analyse des 376 failles que Project Zero a fait remonter entre janvier 2019 et décembre 2021. Environ 84 % ont fait l’objet d’une correction sous 90 jours. Sur l’ensemble de l’échantillon corrigé, les délais moyens s’établissent comme suit :
– Linux : 25 jours (32 en 2019 ; 22 en 2020 ; 15 en 2021)
– Google : 44 jours (49 en 2019 ; 22 en 2020 ; 53 en 2021)
– Mozilla : 46 jours
– Adobe : 65 jours
– Apple : 69 jours (71 en 2019 ; 63 en 2020 ; 64 en 2021)
– Samsung : 72 jours
– Microsoft : 83 jours (85 en 2019 ; 87 en 2020 ; 76 en 2021)
Le délai moyen est un peu plus long pour les OS mobiles. On en est à 70 jours sur iOS (pour 76 failles). Et à 72 sur Android (10 failles sur des Samsung, 6 sur des Pixel). Le différentiel du nombre de vulnérabilités est lié au fait que sur iOS, plusieurs applications (FaceTime, Safari, iMessage…) sont mises à jour avec le système.
Qu’en est-il pour les navigateurs ? Sur Chrome, le délai s’est établi à environ 30 jours (5 pour publier un correctif + 25 pour l’intégrer). Firefox en est à environ 38 jours (17 pour publier + 21 pour intégrer).
* Project Zero invite les éditeurs à produire leurs propres chiffres.
Illustration principale © Siarhei – Adobe Stock
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.