lundi 21 juillet 2014

Project Zero: Google s'attaque aux vulnérabilités software

Le géant de l'informatique Google a annoncé sur son blog qu'il avait pris la décision de lutter contre ce qu'on appelle les "zero-day threats", c'est-à-dire des vulnérabilités ou des failles inconnues et non documentées (non corrigées) dans les logiciels que les cyberpirates découvrent et exploitent. Cette stratégie d'attaque est à l'origine du substantif "exploit" qui caractérise un programme malicieux exploitant une vulnérabilité Zero-Day.
Notons qu'originellement, un "0-day" est un jour durant lequel un logiciel ou un film est copié illégalement avant sa distribution. Google a baptisé cette initiative "Project Zero".

Une vulnérabilité ou menace "less-than-zero" représente la période de temps qui s’écoule
avant que la vulnérabilité ne soit annoncée. Si la menace "zero-day" représente un véritable risque,
la menace «less-than-zero» représente également un sérieux danger. Document 
ISACA traduit par l'auteur.
Project Zero
Ce nouveau projet vient compléter des projets existants tel ZDI d’Hewlett-Packard en allant plus loin que la simple élimination des vulnérabilités.
En effet, selon Chris Evans, ingénieur sécurité chez Google, "les chercheurs de Project Zero traqueront et élimineront les vulnérabilités, mais ils feront aussi bien plus que cela. Notre objectif est de réduire significativement le nombre de personnes frappées par des attaques ciblées".
Le but de ce projet consiste donc également à réfléchir aux moyens et technologies permettant d’améliorer la sécurité informatique et de mener des actions préventives.
Fidèle à son objectif consistant à partager les données qu'il recueille, dans le cadre du Project Zero, Google a décidé de mettre à disposition du public une base de données des vulnérabilités "zero-day", tout en réservant comme il est de coutume la primeur à l’éditeur concerné et ne révéler la menace qu'après correction.
Pour atteindre son objectif, Google sollicite l'aide des meilleurs experts : "Nous recrutons les meilleurs chercheurs en sécurité à l'esprit pratique et contribuant à 100% de leur temps à l'amélioration de la sécurité sur Internet", a déclaré Chris Evans.
Comme d'autres majors du web, Google a engagé d'anciens pirates informatiques reconvertis pour tester la sécurité de ses systèmes, notamment des serveurs webs et rémunèrent les personnes découvrant des failles dans ses applications et pouvant l'aider à les supprimer. Avec l'ampleur de la cybercriminalité, c'est un emploi à temps plein dont l'avenir est assuré ! Avis aux intéressés.
Pour plus d'informations
Prévention du piratage informatique, Luxorion.

Aucun commentaire :

Enregistrer un commentaire