Sur leur blog dédié à la sécurité informatique, Chris Evans et Drew Hintz, ingénieurs chez Google, expliquent avoir récemment découvert que des personnes malintentionnées continuaient d'exploiter une vulnérabilité non corrigée d'une société tierce ; une situation qui ne serait d'ailleurs pas isolée.
Jusqu'à présent, Google encourageait les éditeur à corriger une vulnérabilité critique sur une période de 60 jours. Si aucune solution n'avait été trouvée après cette échéance, Google recommandait de prévenir les clients et de publier certaines procédures afin de sécuriser davantage leurs ordinateurs. « Cependant au travers de notre expérience, une action plus pressante - de 7 jours - nous semble plus appropriée pour les vulnérabilités critiques exploitée activement », expliquent ainsi les ingénieurs.
Google justifie cette décision en ajoutant que chaque jour une vulnérabilité non corrigée est utilisée par un hacker sans que l'utilisateur ne soit au courant de cette dernière. Google reconnaît que cette nouvelle politique est particulièrement « agressive et sans doute trop courte pour que certains éditeurs puisse mettre à jour leurs produits ». Toutefois le géant de Mountain View affirme qu'en une semaine, ces derniers auront le temps de prévenir leurs clients.
Si après cette période de 7 jours l'éditeur n'a pas trouvé de correctif ni publié une alerte à ses utilisateurs pour une vulnérabilité trouvée par Google, la firme californienne se réserve le droit d'en publier le détail au sein de la communauté des chercheurs.
Aucun commentaire:
Enregistrer un commentaire