Project Zero (Google)
Project Zero est le nom d'une équipe d'experts en sécurité informatique employée par Google et chargée de trouver des vulnérabilités Zero day. L'équipe a été annoncée le [1].
Histoire
AprÚs avoir trouvé un certain nombre de failles dans les logiciels utilisés par de nombreux utilisateurs lors de la recherche d'autres problÚmes, comme la vulnérabilité critique Heartbleed, Google a décidé de former une équipe à temps plein destinée à la recherche de telles vulnérabilités, non seulement dans les logiciels de Google, mais aussi dans tous les logiciels utilisés par ses utilisateurs. Le nouveau projet a été annoncé le sur le blogue de sécurité de Google[1] - [2].
Bien que l'idée du Project Zero remonte à 2010, sa création s'inscrit dans la tendance plus large des initiatives de contre-surveillance de Google dans le sillage de révélations d'Edward Snowden en 2013 sur la surveillance globale.
L'équipe était autrefois dirigée par Chris Evans, précédemment responsable de l'équipe de sécurité Google Chrome, qui a ensuite rejoint Tesla Motors[3]. Parmi les membres notables on peut citer Ben Hawkes (en), Ian Beer (en) et Tavis Ormandy (en)[4].
Recherche de bugs et rapports
Les bugs trouvés par l'équipe Project Zero sont signalés à l'éditeur du logiciel et ne sont révélés publiquement qu'une fois qu'un correctif a été publié[1] ou si 90 jours se sont écoulés sans qu'un correctif soit publié[5].
Le dĂ©lai de 90 jours est la façon dont Google implante une divulgation responsable, donnant aux Ă©diteurs de logiciels 90 jours pour corriger un problĂšme avant d'informer le public afin que les utilisateurs eux-mĂȘmes prennent les mesures nĂ©cessaires pour Ă©viter des attaques si l'Ă©diteur n'a pas rĂ©agi[5].
Membres actuels ayant une grande notoriété
Anciens membres ayant une grande notoriété
- George Hotz[4]
- Chris Evans[4]
- Matt Tait[6]
DĂ©couvertes remarquables
Le , l'équipe Google Zero a trouvé une faille dans la fonction NtApphelpCacheControl de Windows 8.1 qui permet à un utilisateur ordinaire d'obtenir un accÚs administrateur[7]. Microsoft a immédiatement été informé du problÚme, mais ne l'a pas corrigé dans un délai de 90 jours. La faille a donc été rendue publique le [5]. La divulgation de la faille a suscité une réponse de Microsoft selon laquelle ils travaillaient sur le problÚme[5].
Le , l'équipe a découvert la faille Cloudbleed dans les proxies inverses de Cloudflare[8]. Cette faille amenait leurs serveurs périphériques à lire aprÚs la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles. Certaines de ces données ont été mises en cache par les moteurs de recherche[9].
Le , Tavis Ormandy (en) du Project Zero a dĂ©couvert une vulnĂ©rabilitĂ© dans le gestionnaire de mots de passe populaire LastPass[10]. Quelques jours plus tard, il a identifiĂ© une autre faille dans le mĂȘme logiciel[11].
, le groupe découvre des failles chez le géant Apple, notamment lors de la mise à jour iOS 11.2, qui ont permis le développement de plusieurs jailbreaks, donnant ainsi la possibilité à l'utilisateur d'avoir un accÚs moins restreint au systÚme d'exploitation d'Apple iOS sur la plateforme concernée[12].
Fin 2017, l'Ă©quipe associĂ©e Ă dâautres ingĂ©nieurs de Cyberus Technology et de l'universitĂ© technique de Graz dĂ©couvrent Meltdown, une vulnĂ©rabilitĂ© matĂ©rielle trouvĂ©e exclusivement dans les microprocesseurs Intel x86 qui permet Ă un processus non autorisĂ© l'accĂšs privilĂ©giĂ© Ă la mĂ©moire. Elle a Ă©tĂ© rendu publique en conjonction avec une autre vulnĂ©rabilitĂ©, Spectre.
Le , Project Zero a dĂ©couvert un bug dans iMessage d'Apple. Un message spĂ©cialement conçu peut rendre l'iPhone inutilisable en faisant crasher SpringBoard ce qui empĂȘche le lancement de l'interface utilisateur. iMessage sur Mac est aussi touchĂ©, avec des consĂ©quences diffĂ©rentes. Apple a corrigĂ© le bug avec la mise Ă disposition d'iOS 12.3, dans le dĂ©lai de 90 jours avant que Google ne rende la faille publique. Une nouvelle alerte sur des failles critiques d'iOS a Ă©tĂ© faite en juillet 2019 auprĂšs d'Apple, nĂ©cessitant un correctif associĂ© Ă iOS 12.4[2].
Le , l'Ă©quipe dĂ©couvre une faille de type 0-day[13] au sein de Windows 10 qui est actuellement exploitĂ©e. Elle permet lâĂ©lĂ©vation des privilĂšges sur le systĂšme dâexploitation de Microsoft. La faille a pour identifiant CVE-2020-17087. PrĂ©cision est donnĂ©e que cette faille n'a aucune incidence sur les Ă©lections amĂ©ricaines de 2020.
Le , l'équipe découvre au total 18 failles 0-day[14] sur certains modems Exynos présents dans certains smartphones. 4 de ces failles permettent notamment assez facilement de compromettre un smartphone au niveau de son baseband en ayant uniquement lu le numéro de téléphone de la victime. Le correctif de sécurité de Mars pour les Google Pixel ajoute des sécurités pour pallier ces failles, aucun correctif n'est sorti à l'heure actuelle pour les autres Smartphones concernés. En attendant les correctifs il est recommandé de désactiver la VoWIFI et la VoLTE pour éviter de potentielles attaques.
Références
- (en) Chris Evans, « Announcing Project Zero », Google Online Security Blog, (consulté le )
- « Cinq graves failles dĂ©tectĂ©es sur iOS, le systĂšme dâexploitation dâApple », Le Monde,â (lire en ligne)
- (en) « Chris Evans on Twitter » (consulté le )
- (en) Andy Greenberg, « Meet âProject Zero,â Google's Secret Team of Bug-Hunting Hackers », Wired.com, (consultĂ© le )
- (en) Steven Dent, « Google posts Windows 8.1 vulnerability before Microsoft can patch it », Engadget, (consulté le ).
- (en) « Lawfareblog Hard National Security Choices Matt Tait » (consulté le )
- (en) « Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl », google-security-research group on code.google.com, (consulté le ).
- (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, (consulté le ).
- (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, (consulté le ).
- (en) « Another hole opens up in LastPass that could take weeks to fix », sur Naked Security, (consulté le ).
- (en) « LastPass on Twitter », Twitter,â (lire en ligne, consultĂ© le ).
- « Jailbreak : NotificationXI permet dâavoir les notifications dâiOS 11 sur iOS 10 », sur iPhoneAddict.fr, (consultĂ© le ).
- « 2104 - project-zero - Project Zero - Monorail », sur bugs.chromium.org (consulté le )
- « Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems », sur googleprojectzero.blogspot.com (consulté le )