Google enrôle sa casquette d’experts en sécurité sur la toile afin de stimuler entre autre la sécurité, mais également et surtout, de rendre la navigation sur Internet plus sûre pour tout le monde, et ce grâce à une équipe interne de spécialistes chargés de trouver des vulnérabilités dans des logiciels tiers – pas de les exploiter, mais pour alerter les développeurs et éviter le prochain Heartbleed.
Le bug Heartbleed a mis l’industrie du logiciel dans une alerte accrue, et que ce soit Google, Facebook ou encore Microsoft et bien d’autres ont déjà formé une fondation plus tôt cette année visant à travailler sur des projets open-source populaires pour vérifier et améliorer leur sécurité.
Cependant, la nouvelle initiative du géant de la technologie nommée « Project Zero » est différente. Autrement dit, voyez cela comme une version très geek de l’Agence Tous Risques. Quoi qu’il en soit, et plus sérieusement, Google a fait l’annonce via un communiqué sur son blog officiel. En effet, Google affirme créer ce qu’elle appelle une « équipe bien dotée en personnel », visant « à réduire de manière significative le nombre de personnes lésées par des attaques ciblées ».
L’équipe de Google va tenter de lutter contre les menaces à la fois sur ses propres produits et ceux d’autres entreprises. Google va en effet travailler avec les fabricants de solutions tierces pour s’assurer que leurs offres n’ont pas de failles, ce qui constituent des menaces potentielles pour toute personne.
« Vous devriez être en mesure d’utiliser le Web sans crainte qu’une faille infecte votre ordinateur, vole vos mots de passe ou encore surveille vos communications », écrit Chris Evans, un membre de l’équipe de recherche en sécurité de Google. « Pourtant, dans les attaques bien précises, nous voyons l’utilisation des vulnérabilités ‘zero-day’ très ciblée, comme par exemple, des militants des droits de l’homme ou l’espionnage industriel », poursuit-il
Evans indique que toutes les failles seront documentées dans une base de données externe. Seuls les éditeurs de logiciels seront initialement informés de ces « bugs », et personne d’autre. Un rapport sera généralement ouvert à tous quand un patch aura été rendu disponible et déployé. Pour renforcer ce groupe de travail, Google embauche les meilleurs et les plus brillants chercheurs en sécurité qu’ils peuvent trouver.
Considérant que les violations de données dans l’État de New York à eu un coûts de un milliard de dollars l’an dernier seulement – on imagine que sur notre territoire le coût n’est pas négligeable également – on peut espérer que le Project Zero va entrer en vigueur plus tôt et que plus tard.
Bien que cela peut sembler étrange que Google mette cette quantité de ressources en vue de trouver des bugs dans un logiciel tiers, quasiment chaque plateforme logicielle moderne dépend de nombreuses ressources tierces. Autrement dit, même les services de Google peuvent être impactées.