La « politique des 90 jours » a-t-elle fait son effet ? Project Zero, l’équipe de « chercheurs de failles » montée par Google, n’est pas si catégorique. Mais elle laisse entendre que les éditeurs n’y sont pas restés insensibles.
En quoi consiste cette politique ? Dans les grandes lignes, tout éditeur auquel Project Zero signale une vulnérabilité a 90 jours pour la corriger. Sans quoi elle est rendue publique, avec les détails techniques.
Une telle pression est susceptible de conduire les éditeurs à prioriser ces alertes, reconnaît Project Zero*. Ils sont toutefois mieux équipés pour réagir, estime l’équipe de chercheurs. Elle en veut pour preuve la diminution globale du délai entre le signalement des failles et leur colmatage. En l’occurrence, 52 jours en moyenne.
Cet indicateur découle de l’analyse des 376 failles que Project Zero a fait remonter entre janvier 2019 et décembre 2021. Environ 84 % ont fait l’objet d’une correction sous 90 jours. Sur l’ensemble de l’échantillon corrigé, les délais moyens s’établissent comme suit :
– Linux : 25 jours (32 en 2019 ; 22 en 2020 ; 15 en 2021)
– Google : 44 jours (49 en 2019 ; 22 en 2020 ; 53 en 2021)
– Mozilla : 46 jours
– Adobe : 65 jours
– Apple : 69 jours (71 en 2019 ; 63 en 2020 ; 64 en 2021)
– Samsung : 72 jours
– Microsoft : 83 jours (85 en 2019 ; 87 en 2020 ; 76 en 2021)
Le délai moyen est un peu plus long pour les OS mobiles. On en est à 70 jours sur iOS (pour 76 failles). Et à 72 sur Android (10 failles sur des Samsung, 6 sur des Pixel). Le différentiel du nombre de vulnérabilités est lié au fait que sur iOS, plusieurs applications (FaceTime, Safari, iMessage…) sont mises à jour avec le système.
Qu’en est-il pour les navigateurs ? Sur Chrome, le délai s’est établi à environ 30 jours (5 pour publier un correctif + 25 pour l’intégrer). Firefox en est à environ 38 jours (17 pour publier + 21 pour intégrer).
* Project Zero invite les éditeurs à produire leurs propres chiffres.
Illustration principale © Siarhei – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
