Technologies
La divulgation des failles de sécurité se formalise.
Par Jerome Saiz, le 27 fév 2002 à 20:00:00.
Une coalition formée de grands éditeurs propose dencadrer le comportement des spécialistes de sécurité lorsquils découvrent une faille. Le débat a été relancé par Microsoft lan dernier, et débouche aujourdhui sur une proposition officielle déposée à lIETF.
Article non reproductible, réalisé initialement pour 01net.com
Ils sont tous là : Microsoft, Sun, Cisco ou encore IBM, sans compter bon nombre de spécialistes de la sécurité. Ils forment lOrganization for Internet Security (OSI), et se proposent de dicter un code de bonne conduite aux spécialistes de la sécurité lorsque ceux-ci découvrent une faille dans un produit. Au cur du débat, une question vieille comme le monde (informatique) : faut-il dévoiler les défauts des programmes dès leur découverte, ou attendre que léditeur ait écrit un correctif ?
Le bon sens veut, bien sûr, que léditeur soit contacté en premier, quil réagisse rapidement et que la faille soit annoncée peu après, avec un correctif.Mais plusieurs exemples lan dernier ont montrés que, parfois, léditeur ne joue pas le jeu. Ainsi, Microsoft a-t-il parfois pour habitude de nier une faille, jusquà ce que son inventeur publie une démonstration pratique.
Cela est arrivé à plusieurs reprises lan dernier, et a poussé léditeur à rallier quelques confrères à ses côtés afin de restreindre la diffusion des failles de sécurité. Le tollé provoqué par cette tentative semble aujourdhui avoir porté ses fruits, puisque la proposition présentée à lInternet Engineering Taskforce semble équilibrée et prévoit des devoirs et des obligations réalistes pour chacune des parties. Selon ses termes, les éditeurs devraient créer une adresse email standard (secalert) pour centraliser les messages, et acquitter leur réception sous dix jours. Ils auraient ensuite un mois pour régler le problème, que ce soit grâce à un correctif, un changement dans la configuration par défaut du produit, etc. Après ce délai, le spécialiste peut publier sa découverte en détail sil le souhaite, ou offrir éventuellement un délai supplémentaire. Il doit cependant assister léditeur dans la résolution de la faille et respecter les délais promis.
Ce document ne présente en revanche aucun caractère impératif, et ne fait quétablir un cadre préférable. Aujourdhui ouvert à la consultation publique, il deviendra éventuellement un standard dInternet selon la norme de lIETF.
Plus d'info : Le texte de la proposition.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
