Project Zero : Google à l’assaut des failles zero day

Google annonce le Projet Zero (« Project Zero »), dont l’objectif est de découvrir les failles zero day des logiciels.

Exploitées via internet, celles-ci font peser une menace croissante sur les utilisateurs de logiciels. Google précise qu’elles sont susceptibles d’être utilisées par des criminels – notamment à la solde d’États voyous – ou par des organisations. Les attaques peuvent parfois même s’avérer critiques lorsqu’elles conduisent à de l’espionnage industriel (comme dans le cadre d’Operation Snowman, qui exploitait une faille zero day découverte dans Adobe Flash) ou qu’elles ciblent des activistes pour les droits de l’homme et des dissidents politiques.

Google fait ainsi de la sécurité une top priorité. En témoigne déjà l’utilisation du protocole HTTPS (Hypertext Transfer Protocol Secure) utilisé automatiquement par Google pour les services de Google Apps si le protocole SSL (Secure Sockets Layer) est activé. Google est aussi à pied d’œuvre sur le chiffrement bout en bout des courriels avec, récemment, l’annonce de l’extension End-to-End pour Chrome basée sur OpenPGP qui permet de chiffrer tous les courriels issus de webmails. Le code open source est d’ailleurs accessible sur code.google.com.

Une souci de transparence qu’on retrouvera avec Google Project, puisque les failles seront certes mentionnées aux seuls éditeurs de logiciels, mais leur découverte sera rendue publique sur une base de données créée pour l’occasion. Il s’agit là de pressuriser les éditeurs de logiciels pour qu’ils prennent les problèmes à bras-le-corps et comblent les failles le plus rapidement possible. Les utilisateurs de logiciels pourront ainsi mesurer la performance (c’est-à-dire le temps de réponse) de chaque éditeur pour combler la faille en question. Une manière indirecte également de dresser une liste des mauvais élèves.

Cette transparence est toutefois absente lorsqu’il s’agit d’évoquer les membres qui ont rejoint cette troupe d’élite. Sur le sujet, Google s’est simplement contenté d’une déclaration laconique : « Nous recrutons les meilleurs chercheurs en sécurité contribuant à hauteur de 100% de leur temps à améliorer la sécurité sur Internet. » La firme de Mountain View précise par ailleurs que le recrutement continue.

Mais, selon Wired, elle se serait déjà offert les services de hackers éminents et autres chercheurs en sécurité réputés. L’américain George Hotz, plus connu sous le pseudonyme GeoHot, serait ainsi de la partie. Le hacker s’est fait connaître du grand public en 2007 lorsqu’il a déverrouillé le premier iPhone distribué alors par AT&T aux Etats-Unis. Ensuite, il s’est illustré en hackant et en crackant la console de jeu vidéo Sony PlayStation 3. Sony l’avait alors poursuivi avant de conclure un marché avec lui pour qu’il ne s’attaque plus à un produit de la marque. Plus tôt dans l’année, il a mis au jour des failles dans Chrome OS dans le cadre d’une compétition Pwnium.

Des faits d’arme qui ont su convaincre Chris Evans, ingénieur en sécurité au sein de Google, de lui faire une offre d’embauche pour rejoindre une équipe payée pour chasser les failles zero day présentes dans les logiciels. La dream team compterait également le Néo-Zélandais Ben Hawkes, crédité de la découverte d’une douzaine de bugs dans Adobe Flash et la suite bureautique Microsoft Office sur la seule année 2013. En tout, une dizaine d’individus hautement qualifiés auraient grossi les rangs de Project Zero.

Si Google clame sa volonté altruiste d’éradiquer les failles zero day, il s’agit également d’instaurer (ou de restaurer) un climat de confiance sur Internet avec tout de même comme leitmotiv : ce dont Internet bénéficie, bénéficie à Google. Des utilisateurs se sentant en sécurité cliqueraient ainsi plus facilement sur des publicités.

Il s’agit également de faire la nique à la NSA, qui exploite notamment des failles zero day pour mener ses activités d’écoute à grande échelle.

Crédit photo : Benoit Daoust – Shutterstock.com