Project Zero de Google a publié un rapport montrant que les organisations ont mis moins de temps à traiter les vulnérabilités zero-day signalées par l’équipe l’année dernière.
Comme le montrent les données, la période moyenne nécessaire aux éditeurs de logiciels pour publier des correctifs de sécurité signalés par Project Zero l’année dernière était de 52 jours, contre 80 jours il y a trois ans.
De plus, presque tous les fournisseurs ont corrigé la faille dans le délai standard de l’industrie de 90 jours, plus un délai de grâce de deux semaines.
Des défauts que vous ne pouvez pas ignorer
Les vulnérabilités zero-day sont des problèmes de sécurité inconnus du développeur du logiciel au moment de leur découverte ou sont connus mais n’ont pas été corrigés.
Ils offrent généralement aux pirates une fenêtre d’opportunité même après la publication d’un correctif, car tout le monde ne peut pas résoudre le problème immédiatement.
En tant que tel, répondre rapidement aux rapports de vulnérabilité zero-day est de la plus haute importance et cela montre également à quel point les éditeurs de logiciels sont sérieux quant à la sécurité de leurs produits, à quel point ils sont efficaces avec le cycle de développement.
Pour les analystes de sécurité qui les découvrent, la période de divulgation ne peut pas être prolongée indéfiniment, car il y a toujours une chance qu’ils n’aient pas été les premiers à les découvrir.
Le paysage du jour zéro
Selon les statistiques 2019-2021 basées sur 376 résultats et rapports zero-day de Project Zero, 26 % concernent Microsoft, 23 % Apple et 16 % Google.
Ces trois géants du logiciel représentent 65 % du total des résultats, ce qui reflète la complexité et le volume élevé de leurs produits logiciels, créant inévitablement des lacunes ou des points noirs pour leurs équipes de sécurité autrement surpeuplées et compétentes.
Les plus performants en termes de correctifs dans les délais étaient Linux, Mozilla et Google, tandis que les pires étaient Oracle, Microsoft et Samsung. Microsoft a également eu le plus de correctifs pendant la période de grâce, les poussant légèrement juste avant qu’ils ne soient rendus publics.
Dans le domaine hautement concurrentiel des systèmes d’exploitation mobiles, Google rapporte les mêmes performances d’iOS et d’Android, le premier ayant un temps de réparation moyen de 70 jours, le second nécessitant 72 jours.
Dans la catégorie des navigateurs Web, Chrome bat tout le monde avec une période moyenne de correction de bugs de 29,9 jours, tandis que Firefox arrive en deuxième position avec 37,8 jours.
Apple a mis plus du double de ce temps pour corriger les failles de WebKit, qui ont tourmenté Safari au cours des deux dernières années, nécessitant en moyenne 72,7 jours.
Comme le commente l’équipe Project Zero de Google dans le rapport:
WebKit est la valeur aberrante de cette analyse, avec le plus long nombre de jours pour publier un correctif à 73 jours. Leur temps pour atterrir publiquement le correctif se situe entre Chrome et Firefox, mais malheureusement, cela laisse beaucoup de temps aux attaquants opportunistes pour trouver le correctif et l’exploiter avant que le correctif ne soit mis à la disposition des utilisateurs.
En conclusion, les analystes de Google en matière de sécurité ont reconnu des signes évidents d’amélioration, mais les fournisseurs peuvent et doivent faire plus à l’avenir, car les adversaires surveillent les rapports de bugs pour avoir une chance de trouver une nouvelle voie d’attaque.