Project Zero : 30 jours de délai accordés si un patch est prêt

Project Zero : 30 jours de délai accordés si un patch est prêt

La politique de divulgation de Project Zero passera d’un délai strict de 90 jours à un nouveau modèle qui intègre une nouvelle période de grâce de 30 jours. L’objectif est de donner aux utilisateurs le temps d’installer des correctifs avant que les détails techniques ne soient révélés.

Le projet conserve sa fameuse période de divulgation de 90 jours pour les vulnérabilités non corrigées. Toutefois, si un correctif apparaît pendant la période de divulgation, les détails techniques apparaîtront 30 jours après la publication du correctif.

publicité

Pour les vulnérabilités exploitées par des attaquants, la divulgation aura lieu une semaine après la notification, ainsi que les détails techniques s’ils ne sont pas corrigés. Si un correctif est publié dans la fenêtre de notification de 7 jours, les détails techniques seront publiés 30 jours plus tard. Les fournisseurs pourront désormais demander un délai supplémentaire de trois jours.

Dans les rares cas où Projet Zéro accorde aux fournisseurs un délai de grâce de quinze jours avant la divulgation, ou une nouvelle période de trois jours pour les vulnérabilités exploitées, ce délai supplémentaire consommera une partie du délai de grâce de 30 jours pour les détails techniques.

L’année dernière, Project Zero a introduit une politique qui accordait aux fournisseurs une fenêtre complète de 90 jours avant de divulguer les détails des vulnérabilités.

Ce changement a également été opéré dans le but de stimuler l’application de correctifs par les utilisateurs, mais il est loin d’avoir été un succès.

“L’idée était que si un fournisseur voulait que les utilisateurs aient plus de temps pour installer un correctif, il donnerait la priorité à l’envoi du correctif plus tôt dans le cycle de 90 jours”, a écrit Tim Willis, responsable Project Zero

“Dans la pratique, cependant, nous n’avons pas observé de changement significatif dans les délais de développement des correctifs, et nous avons continué à recevoir des commentaires de la part des fournisseurs qui étaient préoccupés par la publication de détails techniques sur les vulnérabilités et les exploits avant que la plupart des utilisateurs aient installé le correctif. En d’autres termes, le délai implicite d’adoption des correctifs n’était pas clairement compris.”

Selon M. Willis, le nouveau système de 90+30 jours pourra être revu à la baisse à l’avenir, mais l’objectif est de commencer par des délais que les fournisseurs pourront respecter.

“Sur la base de nos données actuelles de suivi des délais d’application des correctifs de vulnérabilité, il est probable que nous puissions passer à un modèle “84+28″ pour 2022 (le fait d’avoir des délais divisibles de manière égale par sept réduit le risque que nos délais tombent un week-end)”, a-t-il déclaré.

“Le passage à un modèle “90+30″ nous permet de dissocier le délai de mise en œuvre des correctifs du délai d’adoption des correctifs, de répondre à la polémique sur les bénéfices aux attaquants et aux défenseurs et le partage des détails techniques, tout en incitant à réduire la durée pendant laquelle les utilisateurs finaux sont vulnérables aux attaques connues.”

“La politique de divulgation est un sujet complexe avec de nombreux compromis à faire, et ce n’était pas une décision facile à prendre.”

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *