Sécurité : Lancement du Project Zero
Cet Article est la traduction d'une annonce officielle publiée par Google.
La sécurité a toujours été une priorité pour Google. Nous avons investit énormément pour rendre nos produits sûrs, en incluant un chiffrage SSL fort par défaut pour la recherche, Gmail et Drive, ainsi qu’en cryptant les données transitant entre nos data centers. En plus de s’occuper de la sécurité de nos produits, certains Googlers intéressés ont consacré une partie de leur temps à la recherche afin de rendre Internet plus sûr, menant notamment à la découverte de la faille Heartbleed.
Le succès de ces recherches à temps partiel nous a décidé à créer une nouvelle équipe d’excellence nommée Project Zero.
Nous devrions pouvoir utiliser le Web sans craintes qu’un criminel ou qu’un gouvernement exploite une faille de sécurité des logiciels que vous utilisez pour infecter votre ordinateur, voler des secrets, ou surveiller vos communications. Nous observons aussi, à l’occasion d’attaques plus sophistiquées, une exploitation des vulnérabilités dites “jour zéro” pour cibler par exemples des activistes des Droits de l’Homme, ou dans le cadre d’espionnage industriel. Il faut que cela s’arrête. Nous devons en faire plus pour nous attaquer efficacement à cette problématique.
Project Zero est notre contribution. Notre objectif est de significativement réduire le nombre de personnes touchées par des attaques ciblées. Nous sommes en train de recruter les meilleurs chercheurs en sécurité, qui pourront consacrer 100% de leur temps à améliorer la sécurité sur Internet.
Nous n’avons défini aucune limite précise à ce projet, et travaillerons à améliorer la sécurité des logiciels desquels dépendent un grand nombre de personnes, en attachant une attention particulière aux techniques, aux cibles et aux motivations des agresseurs. Nous utiliserons des approches standards, comme la localisation et la publication d’un grand nombre de vulnérabilités. De plus, nous effectuerons de nouvelles recherches sur les mitigations, l’exploitation et l’analyse de programme, et tout autre domaine que nos chercheurs jugeront nécessaires d’investir.
Nous nous engageons à faire ceci dans la plus grande transparence. Chaque bug que nous découvrirons sera répertorié dans une base de données externe. Nous ne signalerons un bug qu’au fabricant du logiciel concerné, en aucun cas à des tierces parties. Une fois que le bug est rendu public (après la publication d’un correctif par exemple), nous serons en mesure de quantifier le temps que met chaque fabricant à réagir et à corriger une faille, participer aux discussions autour du degré d’exploitabilité, et voir l’historique des failles et des crash. Nous nous engageons également à prévenir les fabricants en temps quasi réel, et à travailler avec eux pour proposer un correctif aux utilisateurs le plus rapidement possible.
Nous recrutons. La majorité des chercheurs en sécurité font ça par passion. Ce que nous vous offrons, c’est un nouvel endroit pour faire ce que vous aimez, en toute légalité, et sans distraction. Nous essaierons aussi d’impliquer la communauté dans son ensemble, au travers d’extensions de nos programmes de récompenses, et d’articles sur notre blog. Nous publierons sur ce dernier tout ce que nous jugeons intéressant à partager, et à discuter.