Project Zero : l'équipe anti-failles de Google embauche Geohot
Google cherche à traquer les failles zero day qui frappent n'importe quel logiciel ayant accès au web. Une tâche colossale : d'après Chris Evans, patron et recruteur de cette équipe de choc baptisée Project Zero, « les gens méritent d'utiliser internet sans la peur des vulnérabilités qui peuvent détruire leur vie privée, rien qu'en visitant un site web ». L'objectif de ces traqueurs de failles est d'identifier les problèmes de sécurité potentiels et les éliminer.
Pour ce faire, quoi de mieux qu'une « dream team » de bidouilleurs ? On trouve dans cette agence tous risques Ben Hawkes, crédité de la découverte de dizaines de bugs dans Flash et Office en 2013; Tavis Ormandy, un des plus prolifiques chasseurs de failles de l'industrie; Ian Beer, qui a débusqué six bugs dans iOS, OS X et Safari. Surtout, Google tient sa véritable vedette : George Hotz, alias Geohot, un hacker bien connu sous nos latitudes — il est ici le premier à avoir craqué l'iPhone en 2007. Il avait alors 17 ans… Quelques temps plus tard, Sony portait plainte contre le prodige, qui avait livré plusieurs jailbreaks pour la PS3 (depuis, Geohot a interdiction de bidouiller le moindre produit Sony).
Déjà fameux dans l'industrie, Geohot a fini par taper dans l'œil de Google en remportant les 150 000$ du concours Pwnium en début d'année : il a franchi avec succès les lignes de défense de Chrome OS. Deux mois plus tard, il recevait un coup de fil de Chris Evans pour lui proposer un job à Project Zero, ou plutôt un stage puisque c'est de cela dont il est question pour le moment. Pour les amateurs, Google continue de recruter pour muscler cette escouade anti-bugs, qui travaillera aussi bien à l'intuition qu'avec des logiciels spéciaux.
Cette initiative, pour altruiste qu'elle puisse paraître, est lancée alors que la suspiscion est de mise suite aux révélations d'Edward Snowden sur les agissements de la NSA : l'agence américaine de renseignements a usé de failles pour s'infiltrer discrètement dans les serveurs de plusieurs grandes entreprises… dont ceux du moteur de recherche, qui n'a pas apprécié de se faire ainsi court-circuiter. La NSA use d'ailleurs de failles zero day pour accéder aux précieuses bases de données des services web les plus populaires. Il n'est pas question pour Google d'effrayer l'internaute lambda qui restreindrait l'usage de ses services par peur des grandes oreilles du gouvernement US.
Google se doit de colmater non seulement ses propres logiciels, mais aussi ceux de tiers; après tout, le navigateur Chrome utilise des extensions tierces et s'utilise sur des systèmes d'exploitation sur lesquels le moteur n'a aucune prise. Dès qu'un membre de Project Zero débusquera une vulnérabilité dans un logiciel tiers, il préviendra immédiatement l'éditeur qui aura alors entre 60 à 90 jours pour boucher la faille, avant qu'elle ne soit révélée publiquement sur le blog de l'initiative.
Google est vraiment réactif de ce côté là, c est bien!
Les tech-heads sont définitivement les rockstars de notre temps
C'est vraiment du grand n'importe quoi. Pour moi, les vrais rockstars sont ceux qui donnent de leur temps et moyens afin d'aider les plus démunis à bouffer au quotidien.
@codeX :
Je ne mettais pas en avant ma conviction personnelle (même si je n'en pense pas moins), ni même ce qui devrait être mais plutôt un phénomène de société, ce qui est dans l'air du temps.
En revanche j'ai peur de la réponse mais je la pose quand même: tu travailles dans l'humanitaire ou retweeter la dernière campagne de la Croix Rouge te remplis d'espoir pour l'humanité?
Très bonne idée de leur part
Les photos ne lui rendent pas vraiment hommage. Mais bon, c'est surtout ses compétences que Google souhaite acquérir. Un plan sans accroc, on somme.
« On trouve dans cette agence tous risques »
J'adore cette référence !
Sacrée tête de geek ^^ (Marrant: le correcteur de mon iPhone a transformé "geek" en "Cook" !)
et sinon il n y a pas un peu d ironie dans le fait qu une des entreprises qui collecte le plus de données et qui en veut toujours plus sur ses utilisateurs et les monnaie s inquiète de la protection de la vie privée des gens? ;-)
Il n'est pas question ici de vie privée mais de sécurité. Et si les gens ne se sentent pas en sécurité sur leurs appareils connectés, ils ne les utiliseront pas, donc google aura moins d'informations à pomper. Il n'y a rien d'altruiste dans cette initiative, c'est juste qu'avec tout ce qui s'est passé ces derniers temps, une certaine crainte du connecté commence à s'installer, un peu comme la peu du terrorsme après le 11 septembre. Le project zero de google c'est un peu comme la guerre en afganistan de bush. On fait passer sous couvert de justice et de sécurité une action qui n'a au final qu'un but économique, en surfant sur la peur des gens.
J'adore le coup que Google n'ait pas apprécié d'avoir été court-circuité par la NSA. Y'a rien qui prouve que Google n'ait pas participé activement au fichage de la NSA.
Y'a quand même un ex du KGB a la tête de Google ...
@Wolf
"Y'a quand même un ex du KGB a la tête de Google"
Pas compris. Qui (je ne mets pas en doute, c'est une vraie question, je tombe des nues, là) ?
Sinon, effectivement de la part de Google : « les gens méritent d'utiliser internet sans la peur des vulnérabilités qui peuvent détruire leur vie privée, rien qu'en visitant un site web », on a beau savoir qu'on vit pas dans un monde de bisounours, on atteint des sommets de cynisme, là.
Triste que Geohot n'ait pas la possibilité de monnayer ses talents indiscutables autrement qu'en se prostituant auprès de Google.
Bof.
Je ne comprends pas bien ce qui différencie cette équipe 0 day de toutes les entreprises / laboratoires de recherche en cyber sécurité. Ils font exactement la même chose au final : recherche de failles, contact auprès des éditeurs puis release publique après 90 jours...
@fornorst
"Je ne comprends pas bien ce qui différencie cette équipe 0 day de toutes les entreprises / laboratoires de recherche en cyber sécurité
Juste de la com de Google par le recrutement de stars du hack (les stars du X ayant peut-être refusé) comme Geohot avec son image geek romantique (on n'est plus à oxymore près) de chevalier-blanc-libérateur-de-l'iPhone-et-de-la-PS3. Enfin faut passer sur les dommages collatéraux quand même, y compris pour les utilisateurs simples (en particulier pour la PS3).
Bon, il faut bien admettre que le qualificatif de prodige qu'on lui attribue n'est pas vraiment usurpé...
Visiblement le critère de choix des photos se basait sur celui du tête-à-claquissme ?
@Oracle :
Il a que des photos comme ça le Geohot en même temps.
Le bobo français s'est trouvé un nouvel ennemi facile : Google.
Pathétique humanité.
@Orus :
si je réfléchissait autant que toi je dirais que les "bobo" ou autre "hipster" sont des cibles faciles pour les bourrins et autres moutons.
qu'est ce qui t arrive tu as des actions Google. il ont tellement changer ta vie que Google est ton prophète et donc on a pas le droit de réfléchir et se poser des questions sur leur projet ou emmetre des doutes sur leurs réelles intentions. le débat et l acceptations des arguments des autres est sain tu devrais essayer.
@Orus
Tu pense vraiment que google n'est qu'un 'ennemi facile' ?
As-tu une idée de leur business modèle ?
Bonjour à tous les bobo, que j'appellerais aussi, des 'gentlemans des temps moderne'
Je serais fier d'être assimilé à la communauté Bobo. Ce sont des gens qui réfléchissent et qui sont à l'écoute.
@Danielroibert
Laisse tomber, on admire ce qu'on peut.
Lui, manifestement, son truc c'est de se faire servir sur un plateau des pubs concoctées aux petits oignons à partir de données de sa vie personnelle qui ont été cherchées jusque dans ses compte-rendus de coloscopie.
C'est ce qu'il aime, et si t'aime pas, ben t'es un bobo, une sale race.
Quand Google file des back doors à la NSA, tu penses bien que pour lui c´est l'extase, tandis que le bobo, trop con, ça l'énerve.
Sont mignons chez Google, comme si l'engagement de 5000 hackers de haut-vol allaient leurs permettre de ne pas se plier au patriot act...
Pas besoin de faille day zéro, même pas besoin de demander des autorisations... Ils vont et ils se servent...
Le but des entreprises américaines étant de faire croire qu'ils font quelques choses après les révélations de Snowden, et ces annonces se font avec la bénédiction des services de renseignement...
Parce que bon, si il y a un truc que les grandes oreilles américaines ne voudraient pas, c'est que la majorité des gens rapatrient leurs données sur un sol autre qu'Américain... NSA et Google ont là un objectif commun... Et comme le premier tient le second par les testicules, on se réjouit d'entendre l'argument: "Suite aux révélation de snowden, nous allons traquer les failles zéros day de manière systématique, afin de vous protéger au mieux". Phrase qui sonne à mes yeux comme: "Nous avons fermé les yeux pendant des années sur de multiples failles en vous faisant croire que nos services étaient sur... Maintenant qu'un petit con nous a couler en montrant comment on filait tout au gouvernement, on engage des gens pour faire croire que c'est important.
Qui dit équipe d'hackers de choc, dit capacité à créer des failles qui seront très difficile à débusquer... pour quine connait pas!
Ils ont de l'humour chez Google. Les pires grandes oreilles, ça reste quand même les leurs...
à 10000$ la faille je veux bien en chercher aussi lol