Les vulnérabilités de sécurité signalées par Project Zero en 2021 ont été corrigées 28 jours plus rapidement en moyenne qu’en 2019, a révélé l’équipe de recherche sur la sécurité du jour zéro de Google.
Les fournisseurs de matériel et de logiciels ont mis en moyenne 52 jours pour corriger les failles de sécurité l’année dernière, bien en deçà du délai de 90 jours et en baisse par rapport à la moyenne de temps de 80 jours deux ans auparavant.
Un seul bogue a dépassé son délai de correction, bien que 14 % aient nécessité la période de grâce supplémentaire de 14 jours avant la publication d’un correctif fonctionnel.
« Augmenter la transparence »
« Nous soupçonnons que cette tendance peut être due au fait que les politiques de divulgation responsable sont devenues la norme de facto dans l’industrie, et les fournisseurs sont mieux équipés pour réagir rapidement aux rapports avec des délais différents », a déclaré Ryan Schoen de Project Zero dans un article de blog.
« Nous soupçonnons également que les fournisseurs ont appris les meilleures pratiques les uns des autres, car il y a eu une transparence croissante dans l’industrie. »
CONSEILLÉ La confusion des dépendances en tête de la liste annuelle de piratage Web de PortSwigger pour 2021
Cependant, Schoen a averti que les rapports de Project Zero peuvent être des valeurs aberrantes « en ce sens qu’ils peuvent recevoir une action plus rapide car il existe un risque tangible de divulgation publique (car l’équipe le divulguera si les conditions de délai ne sont pas respectées) et Project Zero est une source fiable d’informations fiables. rapports de bogues ».
En 2019, 2020 et 2021, Project Zero a signalé 376 problèmes aux fournisseurs dans le cadre de son délai de correction standard de 90 jours, dont 351 (93,4 %) ont été corrigés, tandis que les fournisseurs ont refusé de corriger 14 bogues (3,7 %).
À 25 jours, Linux avait le temps moyen le plus rapide pour un correctif, suivi de Google (44) et Mozilla (46). Le plus lent était Oracle (109) mais à partir d’un petit échantillon de sept bugs, suivi de Microsoft (83) et Samsung (72).
Navigateurs
Parmi les trois principaux navigateurs open source – les données étant indisponibles pour leurs rivaux propriétaires – Chrome avait l’écart le plus court entre la réception des rapports de bogues et l’envoi des correctifs aux utilisateurs – 30 jours – suivi de Firefox (38 jours) et Safari (73).
Project Zero a salué le cycle de publication rapide de Google et les versions stables supplémentaires pour les mises à jour de sécurité, ainsi que le récent passage de Chrome d’un cycle de publication de six semaines à un cycle de publication de quatre semaines.
Apple a été applaudi pour des déploiements de correctifs plus rapides dans l’ensemble, mais a été critiqué pour un intervalle important entre l’atterrissage des correctifs WebKit et leur expédition aux utilisateurs, ce qui «laisse très longtemps aux attaquants opportunistes pour trouver le correctif et l’exploiter avant que le correctif ne soit mis à la disposition des utilisateurs », a averti Schoen.
La lenteur relative de Microsoft dans l’application des correctifs a été imputée à « la cadence mensuelle » de ses mises à jour « Patch Tuesday ».
Enregistrer les paiements VRP
Google a également annoncé avoir versé une record de 8,7 millions de dollars en récompenses aux chercheurs en sécurité dans le cadre de ses programmes de récompense de vulnérabilité (VRP) en 2021.
Le Chrome VRP, qui couvre non seulement la sécurité de Google Chrome mais celle de plusieurs autres navigateurs construits sur Chromium, a attribué 3,3 millions de dollars pour 333 rapports de bogues, avec le plus gros paiement, 45 000 $, attribué pour une faille de Chrome OS.
Le VRP Android a versé près de 3 millions de dollars, soit le double des récompenses totales en 2020, dont 157 000 dollars pour une seule chaîne d’exploitation – la récompense Android la plus élevée jamais réalisée.
Les hackers éthiques ont fait don de plus de 300 000 $ de leurs récompenses à des œuvres caritatives.
