Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Projet Zero : Google apporte des modifications à sa politique de divulgation d'informations
Relatives aux failles de sécurité

Le , par Stéphane le calme

0PARTAGES

2  0 
L’équipe de Google faisant partie du Project Zero a dû faire face à de nombreuses critiques durant ces derniers mois après les révélations sur les vulnérabilités critiques qui ont été décelées dans les systèmes d’exploitation édités par Microsoft et Apple qui n’ont pas été corrigées par les maisons mères.

Les informations sur les failles ont été portées à la connaissance du public après un délai de 90 jours conformément à leur politique de divulgation, mais ni Microsoft, ni Apple n’avait déjà réussi à colmater les failles en questions.

Par conséquent, le numéro un de la recherche a décidé de mettre à jour sa politique de divulgation dans le cadre du Project Zero d'une manière qui pourrait aider les développeurs de logiciels à avoir une espèce de « seconde chance » afin qu’ils aient le temps de produire des correctifs pour colmater les failles découvertes sur leur logiciel. L’équipe prévoit de leur fournir plus de temps pour le faire dans certaines circonstances.

Dans un communiqué publié sur le blog officiel de Google, les responsables du projet rappellent que le Projet Zero a opté pour un délai de divulgation de 90 jours et que ce délai s’est avéré relativement raisonnable. « Pour faire un état des lieux, nous avons compilé quelques données sur les divulgations effectuées dans le cadre du Project Zero à ce jour. Par exemple, l'équipe Adobe Flash est probablement celle qui a la plus grande base installée et le plus grand nombre de combinaisons de build de tous les produits que nous avons eu à étudier jusqu'ici. À ce jour, ils ont corrigé 37 vulnérabilités du Project Zero (soit 100%) dans un délai de 90 jours. De façon plus générale, des 154 vulnérabilités du Project Zero ayant reçu des correctifs jusqu'à présent, 85% ont été corrigé dans les 90 jours. Si nous prenons en considération les 73 failles qui ont été signalées et corrigées après le 1 octobre 2014, nous obtenons 95% de correction dans les 90 jours ». En outre, l’équipe fait savoir que les récents problèmes dans la disponibilité des corrections des failles qui étaient liés aux délais demandaient généralement un peu plus de temps que ces 90 jours.

Voici les concessions que Google propose. Tout d’abord une extension du délai dans le cas où il devrait arriver à expiration un weekend ou un jour férié aux USA. Dans ce cas, le délai sera simplement prolongé jusqu’au jour ouvrable qui suit.

Google propose également ce qu’il appelle une « période de grâce » : un délai supplémentaire de 14 jours sera octroyé aux vendeurs qui en font la demande en expliquant qu’un correctif est prévu au courant des deux semaines qui doivent suivre le délai.

En dernier lieu, Google tient à s’assurer que les vulnérabilités soient identifiées de manière unique par le standard CVE pour toutes les vulnérabilités qui auront dépassé le délai des 90 jours pour être corrigées.

« Comme d'habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières. Nous demeurons engagés à traiter chaque vendeur de la même manière. Google s’attend à être tenu par les mêmes normes. D’ailleurs, le Projet Zero a détecté des bugs dans le pipeline pour des produits de Google (Chrome et Android) et ils sont sujets à la même politique sur les dates limites » explique l’équipe.

Source : blog Google

Et vous ?

Que pensez-vous de ces nouvelles mesures ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Tryph
Membre émérite https://www.developpez.com
Le 17/02/2015 à 10:37
Citation Envoyé par RogerBower Voir le message

Heureusement qu'il y avait d'autres gars qui pensaient comme moi quand même lol... Et c'est gars là ont même réussi à faire changer leur politique à Google, c'est pas jolie cette fin d'affaire ? Allez, sans rancune les gars
sérieusement tu t'imagines avoir une responsabilité dans ce changement de politique...?



Citation Envoyé par RogerBower Voir le message

Ils ont du en faire les frais chez Google, parce que en faisant ça, les pirates ont du investir des machines dont la faille n'était évidemment pas comblée, et par rebond, trouver tout un tas de mots de passe de compte Google lol, et par rebond encore, hacker tout un tas de compte Google, les fermer, vider les emails et j'en passe, et comme Google tient de statistiques de tout.... Et peuvent savoir comment les choses se passent, ils ont du voir par exemple une bonne recrudescence de comptes hackés : "Mais, comment cela se fait-il ? Ont-ils du se demander....".


sérieusement, je comprends que Google adapte sa politique histoire de faire semblant de contenter les râleurs, mais bordel si on regarde bien ils ont pas changé grand choses:
- si le 91e jour tombe un week end, ils attendront le lundi pour divulguer la faille. honnêtement je vois pas comment on peut (du coté des plaignants) se féliciter d'une telle "victoire". c'est juste ridicule...
- si l'éditeur du soft faillible dépose une demande de prolongation avant la fin du 90e en promettant un patch à venir rapidement, il pourra bénéficier de 14 jours de plus. là c'est déjà plus intéressant pour l'éditeur pas pressé, un peu "j'm'en foutiste" (ce qui revient peut être un peu au même), qui fait face à un vrai défi technique ou qui subit l'architecture bancale de son soft. bien que j'ai du mal à croire que ça va changer grand chose pour la plupart des corrections (qui ne doivent pas prendre 14 jours, ni même 90 ou 104) peut être que ça pourra être réellement utile dans certain cas. après je doute pas que certains éditeur risquent de demander ce délai systématiquement. mais faut pas oublier que "Comme d'habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières." (dixit Google), donc prudence...

j'espère que Google fournira des statistiques sur ceux qui demandent ces délais et pour quelles failles, histoire de voir quels éditeurs se foutent de nous.
4  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 16/02/2015 à 8:40
La c'est mieux, c'est beaucoup plus souples pour les entreprises.

Car au risques de troller, corriger une faille dans un OS peut être très compliquer, par exemple:
http://www.developpez.com/actu/81245...tecturer-l-OS/

Corriger la faille en elle même peut être simple, mais assurer ensuite une rétro-compatibilité, sa peut être très très dur.
3  0 
Avatar de DarkHylian
Membre habitué https://www.developpez.com
Le 16/02/2015 à 16:04
Citation Envoyé par sazearte Voir le message

Sa Ça dépends dépend aussi les des postes, si une entreprises entreprise a des pc sous Windows98 (pour utiliser une ancienne machine), mais qui ne sont pas connecter connectés a à internet, et personnes personne le ne branche de clé USB ou importe n'importe quoi comme fichier, le risque et est très minime.
Pareil pour les distributeurs de banques, beaucoup sont sous WindowsXP, mais ils n'ont aucun périphérique (clavier et c'est tous tout), ne sont pas connecter connectés a un réseau, donc comment infiltrer la machine ?
On doit pas connaître les mêmes DAB...
Dans mon souvenir (et un vieux post sur developpez), on peut retrouver une attaque via USB ou cdrom je crois (ok, c'est une attaque physique)
Et au pire, un DAB est connecté à un réseau pour traiter la transaction (tu le vois rapidement quand il y a une demande d'autorisation auprès de ta banque), ou pour t'afficher les infos de ton compte, donc il est attaquable (par un moyen ou un autre) depuis l’extérieur.

C'est justement ce qui pose problème à l'heure actuelle : plus de support pour XP, et ces vieilles machines sont "contraintes" de rester sous XP, pourquoi ? Parce que le passage à win 8 ou + pour ces machines ne se justifie pas.
En quelle honneur, un DAB utiliserait un S.E. de plusieurs Gio juste pour lire une CB, donner des sous, afficher des infos de compte ?
Déjà que je comprends pas pourquoi winXP a été utilisé. Je veux dire, on s'attend à utiliser un S.E. éprouvé en terme de sécurité et de fiabilité pour s'occuper d'infos critiques ! Et quand tu tombes sur un "Internet Explorer n'a pas réussi à afficher la page demandée" ou quelque chose du style (genre un BSOD), tu te poses des questions...

Déjà que quand je vois ça pour le choix de mon menu à McDo ou pour lire les horaires de Bus à Toulouse dans les stations de métro, je ris jaune, alors pour un DAB... je te laisse imaginer ma tête.
1  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 16/02/2015 à 12:11
Citation Envoyé par MikeRowSoft Voir le message
Je crois que beaucoup de personnes ne s'en souci pas. Beaucoup d'individus n'en ont même jamais eux connaissances. Se n'est pas pour autant que leurs environnements c'est effondré.
Ah ben oui, comme ça, c'est simple. Pourquoi chercher les failles ou s'embêter à les corriger, en fait ?
0  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 15/07/2015 à 8:51
Bonjour Sasa56134 et bienvenue sur ce forum.

Si tu veut que l'on t'aide, tu devrait poster ta question, dans la section dédié, c'est a dire ici:
http://www.developpez.net/forums/f12...google-chrome/

Et tu clique sur le bouton "Ouvrir une nouvelle discussion"

Cordialement.

En attendant, je te dirais de tenter de réparer l'installation de Google chrome dans le panneau de configuration, voir de le réinstaller.
0  0 
Avatar de
https://www.developpez.com
Le 16/02/2015 à 9:15
Je crois que beaucoup de personnes ne s'en souci pas. Beaucoup d'individus n'en ont même jamais eux connaissances. Se n'est pas pour autant que leurs environnements c'est effondré.
0  1 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 16/02/2015 à 12:29
Je crois que beaucoup de personnes ne s'en souci pas. Beaucoup d'individus n'en ont même jamais eux connaissances. Se n'est pas pour autant que leurs environnements c'est effondré.
Tu parle de quoi ? quand même pas des failles de sécurité

Je crois que beaucoup de personnes ne s'en souci pas.
Dans le grand publique oui, probablement, mais chez les expert/pro/entreprises oui.

Se n'est pas pour autant que leurs environnements c'est effondré.
Certaines entreprises joue a la roulette russe, mais pas car il s'en foutent, mais parce qu’il n'ont pas les moyens.

Sa dépends aussi les postes, si une entreprises a des pc sous Windows98 (pour utiliser une ancienne machine), mais qui ne sont pas connecter a internet, et personnes le branche de clé USB ou importe n'importe quoi comme fichier, le risque et très minime.
Pareil pour les distributeurs de banques, beaucoup sont sous WindowsXP, mais ils n'ont aucun périphérique (clavier et c'est tous), ne sont pas connecter a un réseau, donc comment infiltrer la machine ?
0  1 
Avatar de Sasa56134
Nouveau Candidat au Club https://www.developpez.com
Le 14/07/2015 à 23:40
Bonsoir à tous je ne sais pas comment poser une question sur ce site autre que comme cela du coup voilà ma question , hier soir j'ai fait la dernière mise à jour de Windows 8 sur mon Dell inspiron 15 et depuis je ne peu plus ouvrir Google Chrome , je clique dessus et un petit sablier apparaît mais le moteur de recherche ne s'ouvre pas , pouvez vous m'aidez ? :$
0  1 
Avatar de RogerBower
Nouveau Candidat au Club https://www.developpez.com
Le 16/02/2015 à 13:03
Bonjour,

j'avais bien tenté de le faire comprendre que c'était complètement idiot de dire à tous les passants de la rue (en mettant un panneau en carton sur la pare-brise de la voiture avec écrit dessus : Cette voiture est ouverte ! (donc de divulguer une faille de sécurité présente sur votre PC quand elle est pas comblée !), ça évite qu'il y ait un passant dans le lot qui ouvre la voiture pour en récupérer tout un tas d'affaires.

Heureusement qu'il y avait d'autres gars qui pensaient comme moi quand même lol... Et c'est gars là ont même réussi à faire changer leur politique à Google, c'est pas jolie cette fin d'affaire ? Allez, sans rancune les gars

Ils ont du en faire les frais chez Google, parce que en faisant ça, les pirates ont du investir des machines dont la faille n'était évidemment pas comblée, et par rebond, trouver tout un tas de mots de passe de compte Google lol, et par rebond encore, hacker tout un tas de compte Google, les fermer, vider les emails et j'en passe, et comme Google tient de statistiques de tout.... Et peuvent savoir comment les choses se passent, ils ont du voir par exemple une bonne recrudescence de comptes hackés : "Mais, comment cela se fait-il ? Ont-ils du se demander...."

Y'avait pas à aller chercher bien loin...
0  6