L’équipe de sécurité de Project Zero de Google attendra désormais 90 jours pour divulguer les vulnérabilités qu’elle trouve




L’équipe de sécurité de Project Zero de Google attendra désormais 90 jours pour divulguer les vulnérabilités qu’elle trouve

Chez Project Zero, nous passons beaucoup de temps à discuter et à évaluer les politiques de divulgation des vulnérabilités et leurs conséquences pour les utilisateurs, les fournisseurs, les collègues chercheurs en sécurité et les normes de sécurité des logiciels de l’industrie dans son ensemble. Nous sommes très heureux de l’efficacité de notre politique de divulgation au cours des cinq dernières années. Nous avons constaté de grandes améliorations dans la rapidité avec laquelle les fournisseurs corrigent de graves vulnérabilités, et maintenant 97,7% de nos rapports de vulnérabilité sont corrigés dans notre politique de divulgation de 90 jours.

 

En disant cela, c’est un sujet complexe et souvent controversé qui est fréquemment discuté à l’intérieur et à l’extérieur de l’équipe. Nous recevons souvent des commentaires des fournisseurs avec lesquels Project Zero travaille en étroite collaboration concernant nos politiques actuelles: parfois, ce sont des choses qu’ils veulent que nous changions, d’autres fois, c’est la façon dont notre travail a eu un impact positif sur leur travail et leurs utilisateurs. De telles conversations ont aidé à développer nos politiques au fil des ans. Par exemple, nous avons introduit notre période de grâce de 14 jours en 2015 après des discussions utiles avec divers fournisseurs.

 

Nous avons récemment examiné nos politiques et les objectifs que nous espérons atteindre avec notre politique de divulgation. À la suite de cet examen, nous avons décidé d’apporter certains changements à notre politique de divulgation de la vulnérabilité en 2020. Nous commencerons par décrire les changements apportés à la politique, puis discuterons de la justification de ces changements.

Résumé des changements pour 2020

Pour les vulnérabilités signalées à partir du 1er janvier 2020, nous modifions notre politique de divulgation: 90 jours par défaut, quel que soit le moment où le bogue est corrigé .

 

Vous corrigez un bug en 20 jours? Nous publierons tous les détails le jour 90.
Vous corrigez un bug en 90 jours? Nous publierons tous les détails le jour 90.

 

S’il y a accord mutuel entre le fournisseur et Project Zero, les rapports de bogues peuvent être ouverts au public avant 90 jours. Par exemple, un fournisseur souhaite synchroniser l’ouverture de notre rapport de suivi avec ses notes de publication pour minimiser la confusion et les questions des utilisateurs.

 

Nous essaierons cette politique pendant 12 mois, puis envisagerons de la modifier à long terme.

 

La liste actuelle des changements pour 2020:

 

2019
Essai 2020
  1. 90 jours ou lorsque le bug est corrigé (décidé à la discrétion du chercheur), selon la première éventualité.
  1. 90 jours complets, quel que soit le moment où le bogue est corrigé. Divulgation antérieure avec accord mutuel.
  1. Objectif politique:
    • Développement plus rapide des correctifs
  1. Objectifs politiques:
    • Développement plus rapide des correctifs
    • Développement de patchs approfondi
    • Adoption améliorée des correctifs
  1. Traitement incohérent des correctifs incomplets. Ces problèmes sont soit classés en tant que vulnérabilités distinctes, soit ajoutés aux rapports existants à la discrétion du chercheur.
  1. Les détails des correctifs incomplets seront signalés au fournisseur et ajoutés au rapport existant (qui peut déjà être public) et ne recevront pas de nouveau délai.
  1. Les bogues corrigés pendant la période de grâce * seraient ouverts au public quelque temps après la publication d’un correctif.
  1. Les rapports de suivi de Project Zero sont immédiatement ouverts lorsqu’ils sont corrigés pendant la période de grâce *.
  1. Les rapports de suivi de Project Zero sont ouverts à la discrétion du chercheur après l’expiration du délai.
  1. Les rapports de suivi de Project Zero sont ouverts automatiquement le jour 90 (ou plus tôt d’un commun accord).
* Le délai de grâce est de 14 jours supplémentaires qu’un fournisseur peut demander s’il ne s’attend pas à ce qu’une vulnérabilité signalée soit corrigée dans les 90 jours, mais s’attend à ce qu’elle soit corrigée dans les 104 jours. Si un délai de grâce est demandé et qu’un bogue est corrigé entre 90 et 104 jours après avoir été signalé, les détails du bogue seront publiés le jour de sa correction. Aucun délai de grâce ne sera accordé pour les vulnérabilités dont la résolution devrait prendre plus de 104 jours. Notez que le délai de sept jours pour les vulnérabilités qui sont activement exploitées « dans la nature » restera inchangé.

 

Nous examinons constamment si nos politiques sont dans l’intérêt de la sécurité des utilisateurs, et nous pensons que ce changement est un pas supplémentaire dans la bonne direction. Nous pensons également que c’est simple, cohérent et juste.

Justification des changements pour 2020

 

Au cours des cinq dernières années, l’équipe a utilisé sa politique de divulgation des vulnérabilités pour se concentrer sur un objectif principal: le développement plus rapide des correctifs .

 

Nous voulons rendre les attaques utilisant des exploits zero-day plus coûteuses. Nous le faisons à travers la lentille de la recherche de vulnérabilité offensive et des preuves du comportement des attaquants réels. Cela implique de découvrir et de signaler un grand nombre de vulnérabilités de sécurité, et grâce à notre expérience de ce travail, nous avons réalisé que le développement et le déploiement de correctifs plus rapides étaient très importants et devaient être améliorés par l’industrie.

 

Si les correctifs prennent du temps à se développer et à se déployer, nous prenons rapidement du retard: plus de bogues sont introduits que les fournisseurs ne peuvent corriger et un effort herculéen est nécessaire pour remettre les choses sur la bonne voie.

 


Nous découvrons également régulièrement des cas de «collisions de bogues» avec nos recherches. C’est là que la vulnérabilité que nous avons découverte a été précédemment trouvée et exploitée par un véritable attaquant. Sachant que les vulnérabilités que nous trouvons sont souvent déjà exploitées secrètement pour nuire aux utilisateurs, cela crée un sentiment d’urgence, et nous demandons donc aux fournisseurs de résoudre les problèmes le plus rapidement possible.

 

Après cinq ans d’application d’un délai de divulgation de 90 jours, nous sommes fiers des résultats que nous avons constatés: les vulnérabilités sont corrigées plus rapidement que jamais. Par exemple, au moment où Project Zero a démarré en 2014, certains problèmes prenaient plus de six mois à résoudre. Avance rapide jusqu’en 2019, et 97,7% de nos problèmes sont résolus dans les délais . Cela dit, nous savons qu’il y a encore place à l’amélioration, à la fois dans la vitesse de développement des correctifs à l’échelle de l’industrie et sur l’ensemble du cycle de vie de la gestion des vulnérabilités.

Revoir nos principes et objectifs politiques sous-jacents

 

Nous avons récemment passé un certain temps à articuler les principes sous-jacents de nos politiques:

 

  • C’est simple . La simplicité est importante car nous voulons être facilement compris. Nous voulons également opérer à grande échelle, sinon il est encore plus difficile de pousser agressivement toute l’industrie à faire mieux.
  • Cohérente . Nous voulons être fiables et prévisibles. Nous voulons appliquer nos délais de manière déterministe sans crainte ni faveur, en démontrant que nous pensons ce que nous disons. La barre pour toute exception / incohérence doit rester extrêmement élevée (note: nous n’avons eu que deux exceptions dans les cinq ans d’histoire de l’équipe).
  • Juste . Nous voulons être équitables, équilibrés et impartiaux. Nous ne voulons pas être dans une position où différents fournisseurs (y compris Google!) Bénéficient d’une forme de traitement préférentiel. Les mêmes règles devraient s’appliquer à tout le monde.

 

Nous avons également réalisé dans le cadre de nos discussions qu’il y avait deux autres objectifs politiques que nous voulions inclure. Sur la base de ces discussions, voici nos objectifs politiques pour 2020:

 

  1. Développement plus rapide des correctifs (existants): nous voulons que les fournisseurs développent rapidement des correctifs et mettent en place des processus pour les mettre entre les mains des utilisateurs finaux. Nous continuerons de le faire de toute urgence.

 

  1. Développement de correctifs approfondi (nouveau) : Trop de fois, nous avons vu des fournisseurs corriger des vulnérabilités signalées en «écrasant les fissures» et en ne tenant pas compte des variantes ou en ne s’attaquant pas à la cause première d’une vulnérabilité. Une préoccupation ici est que notre objectif politique de «développement plus rapide des correctifs» puisse exacerber ce problème, ce qui rend beaucoup trop facile pour les attaquants de relancer leurs exploits et de continuer à attaquer les utilisateurs sans trop de tracas.

 

  1. Adoption améliorée des correctifs (nouveau): la sécurité de l’utilisateur final ne s’améliore pas lorsqu’un bug est détecté, et elle ne s’améliore pas lorsqu’un bug est corrigé. Il s’améliore une fois que l’utilisateur final est au courant du bogue et corrige généralement son appareil. À cette fin, il est important d’améliorer l’adoption des correctifs en temps opportun pour garantir que les utilisateurs profitent réellement de la correction du bogue.

 

Cette nouvelle orientation politique pour 2020 incite clairement les fournisseurs, en particulier ceux qui ont soulevé les problèmes suivants avec nous dans le passé.

 

  • Depuis que nous avons fondé Project Zero, certains fournisseurs estiment que nos divulgations avant l’adoption de correctifs importants sont nuisibles. Bien que nous ne soyons pas d’accord (puisque ces informations sont déjà publiques et utilisées par les attaquants conformément à notre FAQ ici ), dans le cadre de cette nouvelle politique, nous nous attendons à ce que les fournisseurs avec cette vue soient incités à patcher plus rapidement , car des correctifs plus rapides leur laisseront « plus de temps » pour l’adoption du patch.
  • La fenêtre complète de 90 jours est disponible pour effectuer une analyse des causes profondes et des variantes. Nous nous attendons à voir des correctifs itératifs et plus approfondis de la part des fournisseurs, supprimant les opportunités que les attaquants ont actuellement d’apporter des modifications mineures à leurs exploits et de relancer leurs exploits zero-day.
  • Nous sommes également explicites sur l’ amélioration de l’adoption des correctifs , car nous encourageons les fournisseurs à proposer des mises à jour et à encourager l’installation auprès d’une large population dans les 90 jours.

 

Nous aimons aussi beaucoup que la nouvelle politique améliore la cohérence de notre processus de divulgation, tout en restant simple et équitable. Par exemple, certains fournisseurs considéraient notre détermination du moment où une vulnérabilité a été corrigée comme imprévisible, en particulier lorsqu’ils travaillaient avec plus d’un chercheur de l’équipe à un moment donné. Ils ont vu cela comme un obstacle à travailler avec nous sur des problèmes plus importants, nous allons donc supprimer cet obstacle et voir si les choses s’améliorent. Nous espérons que cette expérience encouragera les fournisseurs à être transparents avec nous, à partager plus de données, à renforcer la confiance et à améliorer la collaboration.

 

La politique de divulgation est un sujet complexe avec de nombreux compromis à faire. Nous ne nous attendons pas à ce que cette politique plaise à tout le monde, mais nous sommes optimistes qu’elle améliorera notre politique actuelle, englobera un bon équilibre des incitations et sera une étape positive pour la sécurité des utilisateurs. Nous prévoyons de réévaluer s’il atteint nos objectifs politiques à la fin de 2020.




source : Google Project Zero

Write a Comment

Votre adresse e-mail ne sera pas publiée.