Project Zero (Google)

Project Zero est le nom d'une équipe d'experts en sécurité informatique employée par Google et chargée de trouver des vulnérabilités Zero day. L'équipe a été annoncée le 15 juillet 2014^[1].

Après avoir trouvé un certain nombre de failles dans les logiciels utilisés par de nombreux utilisateurs lors de la recherche d'autres problèmes, comme la vulnérabilité critique Heartbleed, Google a décidé de former une équipe à temps plein destinée à la recherche de telles vulnérabilités, non seulement dans les logiciels de Google, mais aussi dans tous les logiciels utilisés par ses utilisateurs. Le nouveau projet a été annoncé le 15 juillet 2014 sur le blogue de sécurité de Google^[1]^,^[2].

Bien que l'idée du Project Zero remonte à 2010, sa création s'inscrit dans la tendance plus large des initiatives de contre-surveillance de Google dans le sillage de révélations d'Edward Snowden en 2013 sur la surveillance globale.

L'équipe était autrefois dirigée par Chris Evans, précédemment responsable de l'équipe de sécurité Google Chrome, qui a ensuite rejoint Tesla Motors^[3]. Parmi les membres notables on peut citer Ben Hawkes (en), Ian Beer (en) et Tavis Ormandy (en)^[4].

Recherche de bugs et rapports

Les bugs trouvés par l'équipe Project Zero sont signalés à l'éditeur du logiciel et ne sont révélés publiquement qu'une fois qu'un correctif a été publié^[1] ou si 90 jours se sont écoulés sans qu'un correctif soit publié^[5].

Le délai de 90 jours est la façon dont Google implante une divulgation responsable, donnant aux éditeurs de logiciels 90 jours pour corriger un problème avant d'informer le public afin que les utilisateurs eux-mêmes prennent les mesures nécessaires pour éviter des attaques si l'éditeur n'a pas réagi^[5].

Membres actuels ayant une grande notoriété

Ben Hawkes (en)^[4]
Ian Beer (en)^[4]

Anciens membres ayant une grande notoriété

Découvertes remarquables

Le 30 septembre 2014, l'équipe Google Zero a trouvé une faille dans la fonction NtApphelpCacheControl de Windows 8.1 qui permet à un utilisateur ordinaire d'obtenir un accès administrateur^[7]. Microsoft a immédiatement été informé du problème, mais ne l'a pas corrigé dans un délai de 90 jours. La faille a donc été rendue publique le 29 décembre 2014^[5]. La divulgation de la faille a suscité une réponse de Microsoft selon laquelle ils travaillaient sur le problème^[5].

Le 19 février 2017, l'équipe a découvert la faille Cloudbleed dans les proxies inverses de Cloudflare^[8]. Cette faille amenait leurs serveurs périphériques à lire après la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles. Certaines de ces données ont été mises en cache par les moteurs de recherche^[9].

Le 27 mars 2017, Tavis Ormandy (en) du Project Zero a découvert une vulnérabilité dans le gestionnaire de mots de passe populaire LastPass^[10]. Quelques jours plus tard, il a identifié une autre faille dans le même logiciel^[11].

Décembre 2017, le groupe découvre des failles chez le géant Apple, notamment lors de la mise à jour iOS 11.2, qui ont permis le développement de plusieurs jailbreaks, donnant ainsi la possibilité à l'utilisateur d'avoir un accès moins restreint au système d'exploitation d'Apple iOS sur la plateforme concernée^[12].

Fin 2017, l'équipe associée à d’autres ingénieurs de Cyberus Technology et de l'université technique de Graz découvrent Meltdown, une vulnérabilité matérielle trouvée exclusivement dans les microprocesseurs Intel x86 qui permet à un processus non autorisé l'accès privilégié à la mémoire. Elle a été rendu publique en conjonction avec une autre vulnérabilité, Spectre.

Le 18 avril 2019, Project Zero a découvert un bug dans iMessage d'Apple. Un message spécialement conçu peut rendre l'iPhone inutilisable en faisant crasher SpringBoard ce qui empêche le lancement de l'interface utilisateur. iMessage sur Mac est aussi touché, avec des conséquences différentes. Apple a corrigé le bug avec la mise à disposition d'iOS 12.3, dans le délai de 90 jours avant que Google ne rende la faille publique. Une nouvelle alerte sur des failles critiques d'iOS a été faite en juillet 2019 auprès d'Apple, nécessitant un correctif associé à iOS 12.4^[2].

Le 2 novembre 2020, l'équipe découvre une faille de type 0-day^[13] au sein de Windows 10 qui est actuellement exploitée. Elle permet l’élévation des privilèges sur le système d’exploitation de Microsoft. La faille a pour identifiant CVE-2020-17087. Précision est donnée que cette faille n'a aucune incidence sur les élections américaines de 2020.

Le 16 mars 2023, l'équipe découvre au total 18 failles 0-day^[14] sur certains modems Exynos présents dans certains smartphones. 4 de ces failles permettent notamment assez facilement de compromettre un smartphone au niveau de son baseband en ayant uniquement lu le numéro de téléphone de la victime. Le correctif de sécurité de mars pour les Google Pixel ajoute des sécurités pour pallier ces failles, aucun correctif n'est sorti à l'heure actuelle pour les autres smartphones concernés. En attendant les correctifs il est recommandé de désactiver la VoWIFI et la VoLTE pour éviter de potentielles attaques.

Project Zero (Google)

Recherche de bugs et rapports

Membres actuels ayant une grande notoriété

Anciens membres ayant une grande notoriété

Découvertes remarquables

Références

Voir aussi

Liens externes

Related Articles