Microsoft et d’autres \u00e9diteurs r\u00e9unis au sein de l’Organization for Internet safety proposent une formalisation des relations entre les d\u00e9couvreurs de failles de s\u00e9curit\u00e9 et les \u00e9diteurs, un peu sur le mod\u00e8le du logiciel libre. Un pas dans la bonne direction, qui en appelle d’autres…<\/p>\n
Un groupe d’\u00e9diteurs parmi lesquels Microsoft, Oracle et des sp\u00e9cialistes de la s\u00e9curit\u00e9 informatique comme Network Associates, Guardent ou Symantec, r\u00e9unis au sein de l’OIS (Organization for Internet safety), a publi\u00e9 mercredi 4 juin un document visant \u00e0 encadrer les relations entre les d\u00e9couvreurs de failles de s\u00e9curit\u00e9 dans les logiciels et les \u00e9diteurs concern\u00e9s. Il formalise le processus de d\u00e9couverte d’un probl\u00e8me, la recherche d’un correctif et sa diffusion. Plut\u00f4t que de rendre publique toute d\u00e9couverte d’une nouvelle faille, ce qui ouvre la porte \u00e0 une utilisation nuisible de cette information par des hackers, l’OIS pr\u00e9conise que le d\u00e9couvreur communique dans un premier temps le probl\u00e8me \u00e0 l’\u00e9diteur, qui doit obligatoirement en accuser r\u00e9ception dans un d\u00e9lai maximal de sept jours. Il est en suite pr\u00e9vu que l’\u00e9diteur et le d\u00e9couvreur s’entendent sur un d\u00e9lai pour trouver une parade, en fonction de la gravit\u00e9 et de la difficult\u00e9 technique du probl\u00e8me, d\u00e9lai qui de doit pas exc\u00e9der trente jours. Une fois le correctif mis au point, il est enfin demand\u00e9 au d\u00e9couvreur de garder secrets les d\u00e9tails techniques de la faille pendant au moins trente jours, le temps que l’\u00e9diteur pr\u00e9vienne ses clients et que ceux-ci aient le temps de r\u00e9agir. <\/p>\n
Un tiers ind\u00e9pendant <\/p>\n
Au premier abord, cette initiative semble louable. Il y a quelque temps, Microsoft, dont la faillibilit\u00e9 des produits n’est un myst\u00e8re pour personne, \u00e9tait favorable au maintien d’un black-out total sur les trous de s\u00e9curit\u00e9, pr\u00e9cis\u00e9ment pour ne pas tenter les vandales de l’informatique, avant d’amender r\u00e9cemment sa position et de plaider pour une diffusion \u00ab\u00a0responsable\u00a0\u00bb. C’est cette notion de diffusion responsable que l’OIS tente aujourd’hui de clarifier. Ses pr\u00e9conisations rappellent ce qui se pratique dans le monde des logiciels libres, dont un des atouts unanimement reconnu, en comparaison des logiciels du march\u00e9, est d’\u00eatre plus s\u00fbrs. Dans le cas de Linux, il revient en effet au CERT (Computer Emergency Response Team), structure financ\u00e9e par le minist\u00e8re am\u00e9ricain de la D\u00e9fense, de centraliser les nouveaux probl\u00e8mes de s\u00e9curit\u00e9, de pr\u00e9venir les personnes concern\u00e9es – en l’occurrence les distributeurs – et de leur fixer une date butoir pour sortir un correctif. Ce qui manque au projet de l’OIS, c’est peut \u00eatre justement la d\u00e9signation d’un tiers ind\u00e9pendant des \u00e9diteurs qui, \u00e0 l’instar du CERT, serait le garant du respect de la proc\u00e9dure. Par exemple, si \u00e9diteur et d\u00e9couvreur ne s’entendent pas sur le d\u00e9lai pour trouver une parade, que se passe-t-il ? A l’\u00e9vidence, le projet de l’OIS souffre lui-m\u00eame de quelques failles.<\/p>\n
[source – vnunet.fr] Olivier Le Qu\u00e9zourec<\/p>\n","protected":false},"excerpt":{"rendered":"
Microsoft et d’autres \u00e9diteurs r\u00e9unis au sein de l’Organization for Internet safety proposent une formalisation des relations entre les d\u00e9couvreurs de failles de s\u00e9curit\u00e9 et les \u00e9diteurs, un peu sur le mod\u00e8le du logiciel libre. Un pas dans la bonne direction, qui en appelle d’autres…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-1691","post","type-post","status-publish","format-standard","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/1691","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1691"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/1691\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1691"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1691"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1691"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}