Menu
Donnez votre avis

Les experts de Google partagent la liste des failles 0-day

Félix Marciano - jeudi 16 mai 2019 - 18:08
Les experts de Google partagent la liste des failles 0-day
L'équipe de Google chargée de repérer de nouvelles vulnérabilités informatiques publie la liste de toutes ses trouvailles à ce jour.


Créée en juillet 2014, l'équipe du Project Zero de Google rassemble des experts en sécurité informatique chargée de repérer et de signaler des failles dites "0-day". Comme son intitulé nom le laisse plus ou moins deviner, cette appellation désigne des vulnérabilités n'ayant pas encore fait l'objet d'une publication ou d'un correctif connu, autrement dit, pour lesquelles aucune solution temporaire ou permanente n'existe. Ce statut, par essence transitoire ne présage pas de la gravité la faille ainsi qualifiée, qui peut être bénigne pu critique, une vulnérabilité cessant d'être 0-day (ou zero day) dès qu'elle a identifiée par la communauté.

La mission de l'équipe Project Zero est d'ailleurs précisément de traquer ce type de failles et de les signaler à leurs responsables – principalement des éditeurs de logiciels – afin qu'ils la corrigent au plus vite. Elle rend ses trouvailles publiques qu'une fois qu'un correctif a été trouvé et publié, ou après un délai 90 jours, quand aucune solution n'a été apportée.

Si tout se passe généralement dans l'ombre, en toute discrétion, l'équipe Project Zero a décidé hier de partager ses résultats avec la communauté, en mettant en ligne un tableau qui recense toutes les failles découvertes à ce jour. On y découvre, classées par nom d'éditeur et rangées dans des onglets pour chaque année, une centaine de failles concernant des acteurs aussi prestigieux qu'Apple, Adobe ou Microsoft et concernant des logiciels comme Windows, Office, Flash, Chrome, WhatsApp ou iOS.

Autant d'informations instructives, que le Project Zero partage pur des motivations statistiques et pédagogiques. Elle souligne ainsi, par exemple, qu'une nouvelle faille est découverte "dans la nature" tous les 17 jours en moyenne, qu'elle est généralement corrigée dans les quinze jours suivant sa détection, et que la principale cause des vulnérabilité concerne des problèmes de corruption de mémoire. Saluons cette initiative, qui ne manquera pas d'intéresser les spécialistes en sécurité comme les geeks curieux.

Illustration : © PXhere
Ajouter un commentaire

Commentaires

Commenter la réponse de Utilisateur anonyme