Project Zero (Google)

Project Zero est le nom d'une équipe d'experts en sécurité informatique employée par Google et chargée de trouver des vulnérabilités Zero day. L'équipe a été annoncée le 15 juillet 2014^[1].

Histoire modifier

Après avoir trouvé un certain nombre de failles dans les logiciels utilisés par de nombreux utilisateurs lors de la recherche d'autres problèmes, comme la vulnérabilité critique Heartbleed, Google a décidé de former une équipe à temps plein destinée à la recherche de telles vulnérabilités, non seulement dans les logiciels de Google, mais aussi dans tous les logiciels utilisés par ses utilisateurs. Le nouveau projet a été annoncé le 15 juillet 2014 sur le blogue de sécurité de Google^[1]^,^[2].

Bien que l'idée du Project Zero remonte à 2010, sa création s'inscrit dans la tendance plus large des initiatives de contre-surveillance de Google dans le sillage de révélations d'Edward Snowden en 2013 sur la surveillance globale.

L'équipe était autrefois dirigée par Chris Evans, précédemment responsable de l'équipe de sécurité Google Chrome, qui a ensuite rejoint Tesla Motors^[3]. Parmi les membres notables on peut citer Ben Hawkes (en), Ian Beer (en) et Tavis Ormandy (en)^[4].

Recherche de bugs et rapports modifier

Les bugs trouvés par l'équipe Project Zero sont signalés à l'éditeur du logiciel et ne sont révélés publiquement qu'une fois qu'un correctif a été publié^[1] ou si 90 jours se sont écoulés sans qu'un correctif soit publié^[5].

Le délai de 90 jours est la façon dont Google implante une divulgation responsable, donnant aux éditeurs de logiciels 90 jours pour corriger un problème avant d'informer le public afin que les utilisateurs eux-mêmes prennent les mesures nécessaires pour éviter des attaques si l'éditeur n'a pas réagi^[5].

Membres actuels ayant une grande notoriété modifier

Anciens membres ayant une grande notoriété modifier

Découvertes remarquables modifier

Le 30 septembre 2014, l'équipe Google Zero a trouvé une faille dans la fonction NtApphelpCacheControl de Windows 8.1 qui permet à un utilisateur ordinaire d'obtenir un accès administrateur^[7]. Microsoft a immédiatement été informé du problème, mais ne l'a pas corrigé dans un délai de 90 jours. La faille a donc été rendue publique le 29 décembre 2014^[5]. La divulgation de la faille a suscité une réponse de Microsoft selon laquelle ils travaillaient sur le problème^[5].

Le 19 février 2017, l'équipe a découvert la faille Cloudbleed dans les proxies inverses de Cloudflare^[8]. Cette faille amenait leurs serveurs périphériques à lire après la fin d'une mémoire tampon et à diffuser des informations privées telles que des cookies HTTP, des jetons d'authentification, des HTTP POST bodies et d'autres données sensibles. Certaines de ces données ont été mises en cache par les moteurs de recherche^[9].

Le 27 mars 2017, Tavis Ormandy (en) du Project Zero a découvert une vulnérabilité dans le gestionnaire de mots de passe populaire LastPass^[10]. Quelques jours plus tard, il a identifié une autre faille dans le même logiciel^[11].

Décembre 2017, le groupe découvre des failles chez le géant Apple, notamment lors de la mise à jour iOS 11.2, qui ont permis le développement de plusieurs jailbreaks, donnant ainsi la possibilité à l'utilisateur d'avoir un accès moins restreint au système d'exploitation d'Apple iOS sur la plateforme concernée^[12].

Fin 2017, l'équipe associée à d’autres ingénieurs de Cyberus Technology et de l'université technique de Graz découvrent Meltdown, une vulnérabilité matérielle trouvée exclusivement dans les microprocesseurs Intel x86 qui permet à un processus non autorisé l'accès privilégié à la mémoire. Elle a été rendu publique en conjonction avec une autre vulnérabilité, Spectre.

Le 18 avril 2019, Project Zero a découvert un bug dans iMessage d'Apple. Un message spécialement conçu peut rendre l'iPhone inutilisable en faisant crasher SpringBoard ce qui empêche le lancement de l'interface utilisateur. iMessage sur Mac est aussi touché, avec des conséquences différentes. Apple a corrigé le bug avec la mise à disposition d'iOS 12.3, dans le délai de 90 jours avant que Google ne rende la faille publique. Une nouvelle alerte sur des failles critiques d'iOS a été faite en juillet 2019 auprès d'Apple, nécessitant un correctif associé à iOS 12.4^[2].

Le 2 novembre 2020, l'équipe découvre une faille de type 0-day^[13] au sein de Windows 10 qui est actuellement exploitée. Elle permet l’élévation des privilèges sur le système d’exploitation de Microsoft. La faille a pour identifiant CVE-2020-17087. Précision est donnée que cette faille n'a aucune incidence sur les élections américaines de 2020.

Le 16 mars 2023, l'équipe découvre au total 18 failles 0-day^[14] sur certains modems Exynos présents dans certains smartphones. 4 de ces failles permettent notamment assez facilement de compromettre un smartphone au niveau de son baseband en ayant uniquement lu le numéro de téléphone de la victime. Le correctif de sécurité de Mars pour les Google Pixel ajoute des sécurités pour pallier ces failles, aucun correctif n'est sorti à l'heure actuelle pour les autres Smartphones concernés. En attendant les correctifs il est recommandé de désactiver la VoWIFI et la VoLTE pour éviter de potentielles attaques.

Références modifier

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Project Zero (Google) » (voir la liste des auteurs).

↑ ^{a b et c} (en) Chris Evans, « Announcing Project Zero », Google Online Security Blog, 15 juillet 2014 (consulté le 4 janvier 2015)
↑ ^{a et b} « Cinq graves failles détectées sur iOS, le système d’exploitation d’Apple », Le Monde,‎ 31 juillet 2019 (lire en ligne)
↑ (en) « Chris Evans on Twitter » (consulté le 22 septembre 2015)
↑ ^{a b c d e et f} (en) Andy Greenberg, « Meet ‘Project Zero,’ Google's Secret Team of Bug-Hunting Hackers », Wired.com, 15 juillet 2014 (consulté le 4 janvier 2015)
↑ ^{a b c et d} (en) Steven Dent, « Google posts Windows 8.1 vulnerability before Microsoft can patch it », Engadget, 2 janvier 2015 (consulté le 4 janvier 2015).
↑ (en) « Lawfareblog Hard National Security Choices Matt Tait » (consulté le 9 mars 2017)
↑ (en) « Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl », google-security-research group on code.google.com, 30 septembre 2014 (consulté le 4 janvier 2015).
↑ (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, 19 février 2017 (consulté le 24 février 2017).
↑ (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, 23 février 2017 (consulté le 24 février 2017).
↑ (en) « Another hole opens up in LastPass that could take weeks to fix », sur Naked Security, 29 mars 2017 (consulté le 29 mars 2017).
↑ (en) « LastPass on Twitter », Twitter,‎ 25 mars 2017 (lire en ligne, consulté le 29 mars 2017).
↑ « Jailbreak : NotificationXI permet d’avoir les notifications d’iOS 11 sur iOS 10 », sur iPhoneAddict.fr, 26 décembre 2017 (consulté le 6 janvier 2018).
↑ « 2104 - project-zero - Project Zero - Monorail », sur bugs.chromium.org (consulté le 2 novembre 2020)
↑ « Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems », sur googleprojectzero.blogspot.com (consulté le 16 mars 2023)

Voir aussi modifier

Liens externes modifier

[announcement-1] {a b et c} (en) Chris Evans, « Announcing Project Zero », Google Online Security Blog, 15 juillet 2014 (consulté le 4 janvier 2015)

[LM2019-2] {a et b} « Cinq graves failles détectées sur iOS, le système d’exploitation d’Apple », Le Monde,‎ 31 juillet 2019 (lire en ligne)

[3] (en) « Chris Evans on Twitter » (consulté le 22 septembre 2015)

[wired-4] {a b c d e et f} (en) Andy Greenberg, « Meet ‘Project Zero,’ Google's Secret Team of Bug-Hunting Hackers », Wired.com, 15 juillet 2014 (consulté le 4 janvier 2015)

[engadget-5] {a b c et d} (en) Steven Dent, « Google posts Windows 8.1 vulnerability before Microsoft can patch it », Engadget, 2 janvier 2015 (consulté le 4 janvier 2015).

[lawfareblog-6] (en) « Lawfareblog Hard National Security Choices Matt Tait » (consulté le 9 mars 2017)

[7] (en) « Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl », google-security-research group on code.google.com, 30 septembre 2014 (consulté le 4 janvier 2015).

[:0-8] (en) « Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory », google-security-research group on code.google.com, 19 février 2017 (consulté le 24 février 2017).

[9] (en) « Incident report on memory leak caused by Cloudflare parser bug », Cloudflare, 23 février 2017 (consulté le 24 février 2017).

[10] (en) « Another hole opens up in LastPass that could take weeks to fix », sur Naked Security, 29 mars 2017 (consulté le 29 mars 2017).

[11] (en) « LastPass on Twitter », Twitter,‎ 25 mars 2017 (lire en ligne, consulté le 29 mars 2017).

[12] « Jailbreak : NotificationXI permet d’avoir les notifications d’iOS 11 sur iOS 10 », sur iPhoneAddict.fr, 26 décembre 2017 (consulté le 6 janvier 2018).

[13] « 2104 - project-zero - Project Zero - Monorail », sur bugs.chromium.org (consulté le 2 novembre 2020)

[14] « Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems », sur googleprojectzero.blogspot.com (consulté le 16 mars 2023)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]