Le Project Zero de Google a étudié les temps de réaction nécessaires aux fabricants pour corriger les bugs au fil des ans. Project Zero recherche les failles de sécurité dans les logiciels, en informe les fabricants des produits et s’attend à ce que les vulnérabilités signalées soient corrigées dans un délai raisonnable. Une bonne nouvelle : les développeurs de logiciels ont pu accélérer sensiblement la correction des bugs liés à la sécurité au cours des trois dernières années.
Selon Google, le délai moyen entre l’annonce de la faille et la livraison du logiciel mis à jour était de 52 jours en 2021. Trois ans plus tôt, les fabricants disposaient encore de 80 jours pour ce faire.
Sommaire
90 jours de délai
En principe, Project Zero donne aux éditeurs de logiciels environ trois mois pour colmater une faille de sécurité après son signalement, avant que les chercheurs ne publient des détails à son sujet. Les fournisseurs de logiciels peuvent toutefois bénéficier d’un délai supplémentaire de 14 jours. Si les fabricants mettent à disposition une mise à jour, Google leur accorde 30 jours supplémentaires avant la publication des détails, afin que les utilisateurs puissent installer les mises à jour et ainsi sécuriser leurs systèmes au préalable.
Les fabricants qui n’ont pas atteint cet objectif sont nettement moins nombreux. Seuls 14 % des bugs signalés nécessitent encore ce délai et un seul bug n’a pas été corrigé à temps en 2021, expliquent les analystes du projet.
Dans un article de blog, les chercheurs du Project Zero jouent un peu avec les chiffres collectés au cours des trois dernières années. Un tableau montre par exemple que la plupart des fournisseurs ont gagné en vitesse entre 2019 et 2021, parfois de manière significative. Seul Google se distingue, car il a certes corrigé des erreurs plus rapidement en 2020 qu’auparavant, mais a fortement ralenti en 2021.
Autre constatation intéressante : il n’y a pas de différence significative de vitesse entre les systèmes d’exploitation des smartphones. Apple a besoin en moyenne de 70 jours pour corriger les bugs sur iOS, tandis qu’Android a besoin en moyenne de 72 jours pour cela, tant sur les appareils Samsung que Pixel. Les analystes de Google expliquent le nombre plus élevé de bugs trouvés chez Apple par le fait qu’en raison de la stratégie de mise à jour d’Apple, des programmes comme Facetime, iMessage ou Safari/WebKit sont considérés comme faisant partie du système d’exploitation.
En ce qui concerne les navigateurs web, Project Zero a examiné de plus près Chrome, Mozilla Firefox et le WebKit d’Apple. Chrome de Google a obtenu les meilleurs résultats avec environ 30 jours entre le signalement du bug et la publication de la mise à jour, suivi de Firefox avec environ 38 jours et en queue de peloton WebKit, où le délai était généralement d’environ 73 jours.
Les analystes de Project-Zero ont établi et publié ces statistiques pour la première fois. Selon l’entrée de blog, cela se fera désormais régulièrement. Les chercheurs prévoient un cycle de publication annuel.