Quand Google publie des failles de sécurité des systèmes d’exploitation

google-rankings-199721

Cette fois-ci, c’est Apple qui subit les publications de failles de sécurité, mais Google n’en est pas à son premier coup.

Project Zero, le projet sécurité de Google Project Zero, c’est le nom du projet par Google depuis quelques temps, qui consiste à détecter des failles dans les systèmes d’exploitation existants, tant sur ordinateur que téléphone et tablette. Pour cela, la firme de Mountain View emploie des experts de l’informatique, qui après avoir sondé et trouvé des possibles sources d’infection, confèrent 90 jours aux développeurs pour combler ces failles, faute de quoi celles-ci sont publiées sur la liste Google Security Research.

Après Microsoft, c’est au tour d’Apple

L’équipe de Project Zero s’est révélée être très active ces temps-ci, puisqu’elle publiait il y a quelques jours une erreur dans les versions 7, 8 et 8.1 de Windows, pour lesquelles Microsoft avait pourtant déclaré être en train de préparer un patch de correction. Malgré cela, Google s’en est tenu à ses propres exigences, obligeant ainsi le développeur visé d’accélérer le déploiement de son correctif. Aujourd’hui, Apple et plus particulièrement son système Mac OSX est visé par Project Zero, avec trois failles rendues publiques.

Depuis 90 jours l’ultimatum de Google est posé, concernant des oublis « zero-day », c’est-à-dire découverts pour la première fois. – Le premier concernerait « networkd », un daemon process ne disposant pas de dispositif de sandboxing pour un niveau de sécurité accru, – Le deuxième toucherait le framework I/O Kit, qui permet de développer des pilotes dans le kernel de OS X, lequel autoriserait l’insertion de code en manipulant la mémoire – Toujours concernant I/O Kit, celui-ci présenterait une faille lorsqu’un périphérique Bluetooth est connecté à l’OS  Pendant qu’Apple s’empresse de finaliser son patch de correction et de le lancer, Google n’applique pas sa politique à ses propres systèmes d’exploitation, puisqu’un problème de sécurité de WebView, composant de la navigation web sur Android jusqu’à sa version 4.3, ne sera pas corrigé par une mise à jour.

Reste à savoir si cette politique de sécurisation des systèmes par ultimatums contribuera à une nette amélioration de la sécurité sur tous les OS, ou au contraire, ouvrira la porte aux pirates dans les cas où les développeurs ne respecteraient pas le délai imposé de 90 jours.