Pour gérer vos consentements :
Categories: Cloud

Les éditeurs cherchent à contrôler les divulgations de failles

Un groupe d’éditeurs parmi lesquels Microsoft, Oracle et des spécialistes de la sécurité informatique comme Network Associates, Guardent ou Symantec, réunis au sein de l’OIS (Organization for Internet safety), a publié mercredi 4 juin un document visant à encadrer les relations entre les découvreurs de failles de sécurité dans les logiciels et les éditeurs concernés. Il formalise le processus de découverte d’un problème, la recherche d’un correctif et sa diffusion. Plutôt que de rendre publique toute découverte d’une nouvelle faille, ce qui ouvre la porte à une utilisation nuisible de cette information par des hackers, l’OIS préconise que le découvreur communique dans un premier temps le problème à l’éditeur, qui doit obligatoirement en accuser réception dans un délai maximal de sept jours. Il est en suite prévu que l’éditeur et le découvreur s’entendent sur un délai pour trouver une parade, en fonction de la gravité et de la difficulté technique du problème, délai qui de doit pas excéder trente jours. Une fois le correctif mis au point, il est enfin demandé au découvreur de garder secrets les détails techniques de la faille pendant au moins trente jours, le temps que l’éditeur prévienne ses clients et que ceux-ci aient le temps de réagir.

Un tiers indépendantAu premier abord, cette initiative semble louable. Il y a quelque temps, Microsoft, dont la faillibilité des produits n’est un mystère pour personne, était favorable au maintien d’un black-out total sur les trous de sécurité, précisément pour ne pas tenter les vandales de l’informatique, avant d’amender récemment sa position et de plaider pour une diffusion « responsable ». C’est cette notion de diffusion responsable que l’OIS tente aujourd’hui de clarifier. Ses préconisations rappellent ce qui se pratique dans le monde des logiciels libres, dont un des atouts unanimement reconnu, en comparaison des logiciels du marché, est d’être plus sûrs. Dans le cas de Linux, il revient en effet au CERT (Computer Emergency Response Team), structure financée par le ministère américain de la Défense, de centraliser les nouveaux problèmes de sécurité, de prévenir les personnes concernées ? en l’occurrence les distributeurs – et de leur fixer une date butoir pour sortir un correctif. Ce qui manque au projet de l’OIS, c’est peut être justement la désignation d’un tiers indépendant des éditeurs qui, à l’instar du CERT, serait le garant du respect de la procédure. Par exemple, si éditeur et découvreur ne s’entendent pas sur le délai pour trouver une parade, que se passe-t-il ? A l’évidence, le projet de l’OIS souffre lui-même de quelques failles.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago