Chez Project Zero, la « politique des 90 jours » n’est plus. En tout cas sous sa forme historique. Google a décidé d’un assouplissement. Le temps de clarifier une notion qu’il estime « mal comprise ».
Cette notion, c’est la séparation des phases de développement et d’adoption des correctifs de sécurité. Jusqu’ici, elle était implicite. Tout éditeur auquel Project Zero rapportait une faille avait, de manière générale, 90 jours pour la colmater* avant qu’elle soit rendue publique avec les détails techniques. Il était censé inclure, dans ce délai, le temps nécessaire aux utilisateurs pour installer le patch. Cela ne s’est globalement pas réalisé, déplore Google.
Dans ce contexte, la politique de Project Zero subit trois changements majeurs.
Parmi ce qui ne change pas, on aura noté le cas des variantes. Leur signalement restera immédiat, au sein du même rapport que la faille principale.
Passer à du « 60 + 30 » serait trop brusque, admet Google. La « légère régression » pour laquelle le groupe américain a opté appelle toutefois un réajustement progressif. Première étape : « 84 + 28 » l’an prochain. Il s’agira de conserver des valeurs divisibles par 7 pour réduire les chances que les dates butoir tombent un week-end.
Pour aller plus loin sur les contributions de Project Zero :
* L’an dernier, Google avait affirmé que 97,7 % des signalements de Project Zero donnaient lieu à une correction sous 90 jours. Il avait fait évoluer sa politique sur un point en particulier : la gestion des correctifs incomplets.
Photo d’illustration © isaak55 – Shutterstock
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.