Project Zero (Google)

Project Zero est le nom d'une équipe d'experts en sécurité informatique employée par Google et chargée de trouver des vulnérabilités Zero day. L'équipe a été annoncée le 15 juillet 2014^[1].

Histoire

Après avoir trouvé un certain nombre de failles dans les logiciels utilisés par de nombreux utilisateurs lors de la recherche d'autres problèmes, comme la vulnérabilité critique Heartbleed, Google a décidé de former une équipe à temps plein dédiée à la recherche de telles vulnérabilités, non seulement dans les logiciels de Google, mais aussi dans tous les logiciels utilisés par ses utilisateurs. Le nouveau projet a été annoncé le 15 juillet 2014 sur le blogue de sécurité de Google^[1].

Bien que l'idée du Project Zero remonte à 2010, son établissement s'inscrit dans la tendance plus large des initiatives de contre-surveillance de Google dans le sillage de révélations d'Edward Snowden en 2013 sur la surveillance globale.

L'équipe était autrefois dirigée par Chris Evans, précédemment responsable de l'équipe de sécurité Google Chrome, qui a ensuite rejoint Tesla Motors^[2]. Parmi les membres notables on peut citer Ben Hawkes (en), Ian Beer (en) et Tavis Ormandy (en)^[3].

Recherche de bugs et rapports

Les bugs trouvés par l'équipe Project Zero sont signalés à l'éditeur du logiciel et ne sont révélés publiquement qu'une fois qu'un correctif a été publié^[1] ou si 90 jours se sont écoulés sans qu'un correctif soit publié^[4].

Le délai de 90 jours est la façon dont Google implante une divulgation responsable, donnant aux éditeurs de logiciels 90 jours pour corriger un problème avant d'informer le public afin que les utilisateurs eux-mêmes prennent les mesures nécessaires pour éviter des attaques si l'éditeur n'a pas réagi^[4].

Membres actuels ayant une grande notoriété

Anciens membres ayant une grande notoriété

Découvertes remarquables

Le 30 septembre 2014, l'équipe Google Zero a trouvé une faille dans la fonction NtApphelpCacheControl de Windows 8.1 qui permet à un utilisateur ordinaire d'obtenir un accès administrateur^[6]. Microsoft a immédiatement été informé du problème, mais ne l'a pas corrigé dans un délai de 90 jours. La faille a donc été rendue publique le 29 décembre 2014^[4]. La divulgation de la faille a suscité une réponse de Microsoft selon laquelle ils travaillaient sur le problème^[4].

Le 19 février 2017, l'équipe a découvert la faille Cloudbleed dans les proxies inverses de Cloudflare^[7]. Cette faille amenait leurs serveurs périphériques à lire après la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles. Certaines de ces données ont été mises en cache par les moteurs de recherche^[8].

Le 27 mars 2017, Tavis Ormandy (en) du Project Zero a découvert une vulnérabilité dans le gestionnaire de mots de passe populaire LastPass^[9]. Quelques jours plus tard, il a identifié une autre faille dans le même logiciel^[10].

Décembre 2017, le groupe découvre des failles chez le géant Apple, notamment lors de la mise à jour IOS 11.2, en découvrant un jailbreak, donnant ainsi la possibilité à l'utilisateur d'avoir un accès au système d'exploitation d'Apple IOS sur la plateforme concernée, communément appelé jailbreak IOS^[11].

Fin 2017, l'équipe associé à d’autres ingénieurs de Cyberus Technology et de la Graz University of Technology découvrent Meltdown, une vulnérabilité matérielle trouvée exclusivement dans les microprocesseurs Intel x86 qui permet à un processus non autorisés l'accès privilégié de la mémoire. Elle a été rendu public en conjonction avec une autre vulnérabilité, Spectre.

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Project Zero (Google) » (voir la liste des auteurs).

↑ ^{a b et c} (en) Chris Evans, « Announcing Project Zero », Google Online Security Blog, 15 juillet 2014 (consulté le 4 janvier 2015)
↑ (en) « Chris Evans on Twitter » (consulté le 22 septembre 2015)
↑ ^{a b c d e et f} (en) Andy Greenberg, « Meet ‘Project Zero,’ Google's Secret Team of Bug-Hunting Hackers », Wired.com, 15 juillet 2014 (consulté le 4 janvier 2015)
↑ ^{a b c et d} (en) Steven Dent, « Google posts Windows 8.1 vulnerability before Microsoft can patch it », Engadget, 2 janvier 2015 (consulté le 4 janvier 2015)
↑ (en) « Lawfareblog Hard National Security Choices Matt Tait » (consulté le 9 mars 2017)
↑ (en) « Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl », google-security-research group on code.google.com, 30 septembre 2014 (consulté le 4 janvier 2015)
↑ (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, 19 février 2017 (consulté le 24 février 2017)
↑ (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, 23 février 2017 (consulté le 24 février 2017)
↑ (en) « Another hole opens up in LastPass that could take weeks to fix », sur Naked Security, 29 mars 2017 (consulté le 29 mars 2017)
↑ (en) « LastPass on Twitter », Twitter,‎ 25 mars 2017 (lire en ligne, consulté le 29 mars 2017)
↑ « Jailbreak : NotificationXI permet d’avoir les notifications d’iOS 11 sur iOS 10 », iPhoneAddict.fr, {{Article}} : paramètre « date » manquant (lire en ligne, consulté le 6 janvier 2018)

Voir aussi

Liens externes

[announcement-1] {a b et c} (en) Chris Evans, « Announcing Project Zero », Google Online Security Blog, 15 juillet 2014 (consulté le 4 janvier 2015)

[2] (en) « Chris Evans on Twitter » (consulté le 22 septembre 2015)

[wired-3] {a b c d e et f} (en) Andy Greenberg, « Meet ‘Project Zero,’ Google's Secret Team of Bug-Hunting Hackers », Wired.com, 15 juillet 2014 (consulté le 4 janvier 2015)

[engadget-4] {a b c et d} (en) Steven Dent, « Google posts Windows 8.1 vulnerability before Microsoft can patch it », Engadget, 2 janvier 2015 (consulté le 4 janvier 2015)

[lawfareblog-5] (en) « Lawfareblog Hard National Security Choices Matt Tait » (consulté le 9 mars 2017)

[6] (en) « Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl », google-security-research group on code.google.com, 30 septembre 2014 (consulté le 4 janvier 2015)

[:0-7] (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, 19 février 2017 (consulté le 24 février 2017)

[8] (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, 23 février 2017 (consulté le 24 février 2017)

[9] (en) « Another hole opens up in LastPass that could take weeks to fix », sur Naked Security, 29 mars 2017 (consulté le 29 mars 2017)

[10] (en) « LastPass on Twitter », Twitter,‎ 25 mars 2017 (lire en ligne, consulté le 29 mars 2017)

[11] « Jailbreak : NotificationXI permet d’avoir les notifications d’iOS 11 sur iOS 10 », iPhoneAddict.fr, {{Article}} : paramètre « date » manquant (lire en ligne, consulté le 6 janvier 2018)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]