Project Zero (Google)
Project Zero est le nom d'une équipe d'experts en sécurité informatique employée par Google et chargée de trouver des vulnérabilités Zero day. L'équipe a été annoncée le [1].
Histoire
[modifier | modifier le code]Après avoir trouvé un certain nombre de failles dans les logiciels utilisés par de nombreux utilisateurs lors de la recherche d'autres problèmes, comme la vulnérabilité critique Heartbleed, Google a décidé de former une équipe à temps plein destinée à la recherche de telles vulnérabilités, non seulement dans les logiciels de Google, mais aussi dans tous les logiciels utilisés par ses utilisateurs. Le nouveau projet a été annoncé le sur le blogue de sécurité de Google[1],[2].
Bien que l'idée du Project Zero remonte à 2010, sa création s'inscrit dans la tendance plus large des initiatives de contre-surveillance de Google dans le sillage de révélations d'Edward Snowden en 2013 sur la surveillance globale.
L'équipe était autrefois dirigée par Chris Evans, précédemment responsable de l'équipe de sécurité Google Chrome, qui a ensuite rejoint Tesla Motors[3]. Parmi les membres notables on peut citer Ben Hawkes (en), Ian Beer (en) et Tavis Ormandy (en)[4].
Recherche de bugs et rapports
[modifier | modifier le code]Les bugs trouvés par l'équipe Project Zero sont signalés à l'éditeur du logiciel et ne sont révélés publiquement qu'une fois qu'un correctif a été publié[1] ou si 90 jours se sont écoulés sans qu'un correctif soit publié[5].
Le délai de 90 jours est la façon dont Google implante une divulgation responsable, donnant aux éditeurs de logiciels 90 jours pour corriger un problème avant d'informer le public afin que les utilisateurs eux-mêmes prennent les mesures nécessaires pour éviter des attaques si l'éditeur n'a pas réagi[5].
Membres actuels ayant une grande notoriété
[modifier | modifier le code]Anciens membres ayant une grande notoriété
[modifier | modifier le code]Découvertes remarquables
[modifier | modifier le code]Le , l'équipe Google Zero a trouvé une faille dans la fonction NtApphelpCacheControl de Windows 8.1 qui permet à un utilisateur ordinaire d'obtenir un accès administrateur[7]. Microsoft a immédiatement été informé du problème, mais ne l'a pas corrigé dans un délai de 90 jours. La faille a donc été rendue publique le [5]. La divulgation de la faille a suscité une réponse de Microsoft selon laquelle ils travaillaient sur le problème[5].
Le , l'équipe a découvert la faille Cloudbleed dans les proxies inverses de Cloudflare[8]. Cette faille amenait leurs serveurs périphériques à lire après la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles. Certaines de ces données ont été mises en cache par les moteurs de recherche[9].
Le , Tavis Ormandy (en) du Project Zero a découvert une vulnérabilité dans le gestionnaire de mots de passe populaire LastPass[10]. Quelques jours plus tard, il a identifié une autre faille dans le même logiciel[11].
, le groupe découvre des failles chez le géant Apple, notamment lors de la mise à jour iOS 11.2, qui ont permis le développement de plusieurs jailbreaks, donnant ainsi la possibilité à l'utilisateur d'avoir un accès moins restreint au système d'exploitation d'Apple iOS sur la plateforme concernée[12].
Fin 2017, l'équipe associée à d’autres ingénieurs de Cyberus Technology et de l'université technique de Graz découvrent Meltdown, une vulnérabilité matérielle trouvée exclusivement dans les microprocesseurs Intel x86 qui permet à un processus non autorisé l'accès privilégié à la mémoire. Elle a été rendu publique en conjonction avec une autre vulnérabilité, Spectre.
Le , Project Zero a découvert un bug dans iMessage d'Apple. Un message spécialement conçu peut rendre l'iPhone inutilisable en faisant crasher SpringBoard ce qui empêche le lancement de l'interface utilisateur. iMessage sur Mac est aussi touché, avec des conséquences différentes. Apple a corrigé le bug avec la mise à disposition d'iOS 12.3, dans le délai de 90 jours avant que Google ne rende la faille publique. Une nouvelle alerte sur des failles critiques d'iOS a été faite en juillet 2019 auprès d'Apple, nécessitant un correctif associé à iOS 12.4[2].
Le , l'équipe découvre une faille de type 0-day[13] au sein de Windows 10 qui est actuellement exploitée. Elle permet l’élévation des privilèges sur le système d’exploitation de Microsoft. La faille a pour identifiant CVE-2020-17087. Précision est donnée que cette faille n'a aucune incidence sur les élections américaines de 2020.
Le , l'équipe découvre au total 18 failles 0-day[14] sur certains modems Exynos présents dans certains smartphones. 4 de ces failles permettent notamment assez facilement de compromettre un smartphone au niveau de son baseband en ayant uniquement lu le numéro de téléphone de la victime. Le correctif de sécurité de Mars pour les Google Pixel ajoute des sécurités pour pallier ces failles, aucun correctif n'est sorti à l'heure actuelle pour les autres Smartphones concernés. En attendant les correctifs il est recommandé de désactiver la VoWIFI et la VoLTE pour éviter de potentielles attaques.
Références
[modifier | modifier le code]- (en) Chris Evans, « Announcing Project Zero », Google Online Security Blog, (consulté le )
- « Cinq graves failles détectées sur iOS, le système d’exploitation d’Apple », Le Monde, (lire en ligne)
- (en) « Chris Evans on Twitter » (consulté le )
- (en) Andy Greenberg, « Meet ‘Project Zero,’ Google's Secret Team of Bug-Hunting Hackers », Wired.com, (consulté le )
- (en) Steven Dent, « Google posts Windows 8.1 vulnerability before Microsoft can patch it », Engadget, (consulté le ).
- (en) « Lawfareblog Hard National Security Choices Matt Tait » (consulté le )
- (en) « Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl », google-security-research group on code.google.com, (consulté le ).
- (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, (consulté le ).
- (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, (consulté le ).
- (en) « Another hole opens up in LastPass that could take weeks to fix », sur Naked Security, (consulté le ).
- (en) « LastPass on Twitter », Twitter, (lire en ligne, consulté le ).
- « Jailbreak : NotificationXI permet d’avoir les notifications d’iOS 11 sur iOS 10 », sur iPhoneAddict.fr, (consulté le ).
- « 2104 - project-zero - Project Zero - Monorail », sur bugs.chromium.org (consulté le )
- « Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems », sur googleprojectzero.blogspot.com (consulté le )