D'année en année, les entreprises sont plus réactives pour corriger les failles de sécurité. C'est ce qui ressort de la dernière enquête des chercheurs en sécurité Google Project Zero. Alors qu'en 2019 les fournisseurs informatiques mettaient en moyenne 80 jours avant de combler des vulnérabilités, en 2021 ce délai a été réduit à 52 jours. Les éditeurs et constructeurs de solutions se montrent donc de plus en plus réactifs en publiant des patchs bien avant la deadline des 90 jours après lesquelles les failles sont dévoilées. En 2021, un seul bogue a dépassé son délai de correction et 14 % ont réussi à obtenir un délai supplémentaire. « Nous pensons que cette tendance peut être due au fait que les politiques de divulgation responsable sont devenues la norme de facto dans l'industrie et que les acteurs sont mieux équipés pour réagir rapidement aux rapports avec des délais différents. Nous soupçonnons également que les fournisseurs ont appris les meilleures pratiques les uns des autres, car il y a eu une transparence croissante dans l'industrie », explique Google.

Entre 2019 et 2021, Project Zero a signalé 376 problèmes aux fournisseurs. 351 (93,4%) de ces bogues ont été corrigés avant la limite des 902 jours, tandis que 14 (3,7%) ont été déclarés comme « non corrigés ». 11 (2,9%) des autres trous de sécurité sont restés non corrigés « bien qu'au moment d'écrire ces lignes, 8 aient dépassé leur date limite pour être corrigés », a précisé Google Project Zero. Enfin, 3 derniers bugs sont encore dans les temps pour être corrigés avant la date limite des 90 jours. Les chercheurs font ressortir que la plupart des vulnérabilités sont regroupées autour de quelques fournisseurs : 96 (26 %) sont signalés à Microsoft, 85 (23 %) à Apple et 60 (16 %) à Google. S'agissant des navigateurs web, Chrome (propriété de Google) s'avère être plus rapide que Firefox et Safari en matière de correction de bugs : 5 jours en moyenne pour le premier contre 28 jours pour le deuxième et 73 jours pour le dernier.

La cadence de publication des correctifs de Microsoft en question

L'enquête de Project Zero fournit par ailleurs quelques explications concernant les temps de réaction des principaux acteurs concernés par ces failles. S'agissant de Microsoft, la longue durée de correction et sa dépendance à la période « de grâce » sont des conséquences de la cadence mensuelle des mises à jour de ses patch tuesday pouvant rendre plus difficile pour les équipes de développement de respecter le délai de divulgation. « Nous espérons que Microsoft pourrait envisager de mettre en œuvre une cadence de correctifs plus fréquente pour les problèmes de sécurité ou de trouver des moyens de rationaliser davantage ses processus internes pour expédier le code plus rapidement », notent les chercheurs. 

Concernant Apple, Project Zero se montre « satisfait de l'accélération de l'arrivée des correctifs, ainsi que de la récente non utilisation des périodes de grâce ainsi que de l'absence de correction hors délai ». Concernant plus spécifiquement WebKit - utilisé par le navigateur maison Safari - les chercheurs de Google s'attendent à ce qu'Apple réduise le temps nécessaire entre l'arrivée d'un correctif et sa diffusion auprès des utilisateurs, d'autant plus que la sécurité de WebKit affecte tous les navigateurs utilisés dans iOS, car il est le seul moteur Javascript de navigateur autorisé sur la plateforme iOS. 

Accélérer l'application des correctifs de sécurité sur Android

Enfin, Project Zero donne aussi un avis sur la façon dont Google traite les failles, en particulier Chrome : « nous soupçonnons que le délai d'exécution rapide des bogues de sécurité est en partie dû à leur cycle de publication rapide, ainsi qu'à leurs versions stables supplémentaires pour les mises à jour de sécurité », indique la recherche. La bascule d'un cycle de publication de patchs de 6 à 4 semaines est en outre bien perçu. Concernant Android, les chercheurs notent un timing de publication de correctifs « à peu près comparable » à ceux de Samsung et d'Apple mais encouragent son équipe à « rechercher d'autres moyens d'accélérer l'application des mises à jour de sécurité ».