Plutôt que de laisser 90 jours aux éditeurs pour corriger les failles de sécurité découverte, le Project Zero de Google a décidé de relâcher la pression en ajoutant deux semaines supplémentaires.
C’est dans le but de pousser les éditeurs à colmater les failles de sécurité que l’équipe Project Zero de Google a fixé une limite de 90 jours avant de divulguer les détails d’une vulnérabilité. La durée de rétention de l’information vient d’être prolongée de deux semaines.
De plus, les failles ne seront plus divulguées la veille d’un jour non ouvré, c’est-à-dire le week-end et les jours fériés aux États-Unis.
Dans le but d’éviter toute confusion, Google s’engage à vérifier que les CVE, la norme attribuant une référence unique à chaque faille de sécurité, soient préalablement assignées aux vulnérabilités dépassant la période de rétention.
Google précise que 85% des 154 failles découvertes par le Project Zero en 2014 ont été corrigée dans le délai des 90 jours. Adobe, star en la matière, a corrigé l’intégralité des 37 vulnérabilités découvertes dans le délai imparti.
Alors qu’une polémique avait éclaté entre Microsoft et le Project Zero au sujet de la divulgation des détails d’une faille quelques jours avant le déploiement du correctif, la firme de Redmond accueille favorablement la nouvelle politique de Google tout en maintenant son avis au sujet d’un délai qui est « globalement opposé ».
Pour Chris Betz, responsable du Microsoft Security Response Center (MSRC), « Nous sommes en désaccord avec les délais arbitraires, car chaque problème de sécurité est unique. La période de mise à jour et de test varie […] Révéler une faille avant la publication du correctif décuple les risques qui pèsent sur les utilisateurs ».