Microsoft ajuste son processus de divulgation de failles de sécurité
Microsoft a modifié sa méthode pour gérer les découvertes de chercheurs en sécurité. L’éditeur souhaite rendre le processus de recherche et de résolution des failles plus facile et plus sécurisé.
Comment gérer la découverte de failles de sécurité ?
L’industrie de la sécurité IT et les grands éditeurs comme Microsoft sont en train de débattre du bien-fondé de la divulgation complète, c’est à dire la diffusion d’informations sur une faille avant qu’un patch ne soit disponible. Ou à l’inverse, de la « communication responsable », c’est à dire une diffusion restreinte d’informations sur une vulnérabilité jusqu’à ce qu’un correctif soit disponible.
« La plupart des fournisseurs, dont Microsoft, sont en faveur de la communication responsable, tandis que chercheurs préfèrent une publication totale » a déclaré Katie Moussouris, principal responsable de la stratégie de sécurité chez Microsoft, dans une contribution blog en date du 22 juillet.
Cette prise de position a attiré le soutien de certains des plus grands noms de l’industrie IT (McAfee, Symantec, Paypal…).
Mais la stratège de la firme de Redmond voudrait avant tout que l’on se préoccupe des utilisateurs.
Microsoft prévoit de mettre en place un système de divulgation coordonné de vulnérabilité qui sera similaire aux systèmes actuels de divulgation responsable, mais avec une réserve.
En effet, si les attaques sont découvertes à l’état sauvage, les chercheurs et Microsoft donneront des informations sur le problème et publieront les solutions disponibles.
Si l’éditeur de logiciel est en désaccord avec les partisans de la divulgation complète, l’entreprise veut collaborer avec des chercheurs qui travaillent en vertu de ces principes pour que toute annonce soit coordonnée.
Matt Thomlinson, directeur général de la sécurité chez Trustworthy Computing, abonde dans le sens de Microsoft et prône une divulgation coordonnée dans l’intérêt de la sécurité des utilisateurs.
« Il est évident qu’à l’écoute de ces deux argumentaires extrêmes sur la divulgation des failles, il y a une chose que nous essayons tous de faire: protéger les clients » a-t-il déclaré pour sa part déclaré dans une contribution blog.