Project Zero (Google)

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
Page d'aide sur l'homonymie Pour les articles homonymes, voir Project Zero (homonymie).

Project Zero est le nom d'une équipe d'experts en sécurité informatique employée par Google et chargée de trouver des vulnérabilités Zero day. L'équipe a été annoncée le 15 juillet 2014[1].

Histoire[modifier | modifier le code]

Après avoir trouvé un certain nombre de failles dans les logiciels utilisés par de nombreux utilisateurs lors de la recherche d'autres problèmes, comme la vulnérabilité critique Heartbleed, Google a décidé de former une équipe à temps plein dédiée à la recherche de telles vulnérabilités, non seulement dans les logiciels de Google, mais aussi dans tous les logiciels utilisés par ses utilisateurs. Le nouveau projet a été annoncé le 15 juillet 2014 sur le blogue de sécurité de Google[1].

Bien que l'idée du Project Zero remonte à 2010, sa création s'inscrit dans la tendance plus large des initiatives de contre-surveillance de Google dans le sillage de révélations d'Edward Snowden en 2013 sur la surveillance globale.

L'équipe était autrefois dirigée par Chris Evans, précédemment responsable de l'équipe de sécurité Google Chrome, qui a ensuite rejoint Tesla Motors[2]. Parmi les membres notables on peut citer Ben Hawkes (en), Ian Beer (en) et Tavis Ormandy (en)[3].

Recherche de bugs et rapports[modifier | modifier le code]

Les bugs trouvés par l'équipe Project Zero sont signalés à l'éditeur du logiciel et ne sont révélés publiquement qu'une fois qu'un correctif a été publié[1] ou si 90 jours se sont écoulés sans qu'un correctif soit publié[4].

Le délai de 90 jours est la façon dont Google implante une divulgation responsable, donnant aux éditeurs de logiciels 90 jours pour corriger un problème avant d'informer le public afin que les utilisateurs eux-mêmes prennent les mesures nécessaires pour éviter des attaques si l'éditeur n'a pas réagi[4].

Membres actuels ayant une grande notoriété[modifier | modifier le code]

Anciens membres ayant une grande notoriété[modifier | modifier le code]

Découvertes remarquables[modifier | modifier le code]

Le 30 septembre 2014, l'équipe Google Zero a trouvé une faille dans la fonction NtApphelpCacheControl de Windows 8.1 qui permet à un utilisateur ordinaire d'obtenir un accès administrateur[6]. Microsoft a immédiatement été informé du problème, mais ne l'a pas corrigé dans un délai de 90 jours. La faille a donc été rendue publique le 29 décembre 2014[4]. La divulgation de la faille a suscité une réponse de Microsoft selon laquelle ils travaillaient sur le problème[4].

Le 19 février 2017, l'équipe a découvert la faille Cloudbleed dans les proxies inverses de Cloudflare[7]. Cette faille amenait leurs serveurs périphériques à lire après la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles. Certaines de ces données ont été mises en cache par les moteurs de recherche[8].

Le 27 mars 2017, Tavis Ormandy (en) du Project Zero a découvert une vulnérabilité dans le gestionnaire de mots de passe populaire LastPass[9]. Quelques jours plus tard, il a identifié une autre faille dans le même logiciel[10].

Décembre 2017, le groupe découvre des failles chez le géant Apple, notamment lors de la mise à jour iOS 11.2, qui ont permis le développement de plusieurs jailbreaks, donnant ainsi la possibilité à l'utilisateur d'avoir un accès moins restreint au système d'exploitation d'Apple iOS sur la plateforme concernée[11].

Fin 2017, l'équipe associée à d’autres ingénieurs de Cyberus Technology et de l'université technique de Graz découvrent Meltdown, une vulnérabilité matérielle trouvée exclusivement dans les microprocesseurs Intel x86 qui permet à un processus non autorisés l'accès privilégié de la mémoire. Elle a été rendu public en conjonction avec une autre vulnérabilité, Spectre.

Références[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Project Zero (Google) » (voir la liste des auteurs).
  1. a, b et c (en) Chris Evans, « Announcing Project Zero », Google Online Security Blog, (consulté le 4 janvier 2015)
  2. (en) « Chris Evans on Twitter » (consulté le 22 septembre 2015)
  3. a, b, c, d, e et f (en) Andy Greenberg, « Meet ‘Project Zero,’ Google's Secret Team of Bug-Hunting Hackers », Wired.com, (consulté le 4 janvier 2015)
  4. a, b, c et d (en) Steven Dent, « Google posts Windows 8.1 vulnerability before Microsoft can patch it », Engadget, (consulté le 4 janvier 2015).
  5. (en) « Lawfareblog Hard National Security Choices Matt Tait » (consulté le 9 mars 2017)
  6. (en) « Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl », google-security-research group on code.google.com, (consulté le 4 janvier 2015).
  7. (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, (consulté le 24 février 2017).
  8. (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, (consulté le 24 février 2017).
  9. (en) « Another hole opens up in LastPass that could take weeks to fix », sur Naked Security, (consulté le 29 mars 2017).
  10. (en) « LastPass on Twitter », Twitter,‎ (lire en ligne).
  11. « Jailbreak : NotificationXI permet d’avoir les notifications d’iOS 11 sur iOS 10 », sur iPhoneAddict.fr, (consulté le 6 janvier 2018).

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]