Comment gérer la découverte de failles de sécurité ?
L’industrie de la sécurité IT et les grands éditeurs comme Microsoft sont en train de débattre du bien-fondé de la divulgation complète, c’est à dire la diffusion d’informations sur une faille avant qu’un patch ne soit disponible. Ou à l’inverse, de la « communication responsable », c’est à dire une diffusion restreinte d’informations sur une vulnérabilité jusqu’à ce qu’un correctif soit disponible.
« La plupart des fournisseurs, dont Microsoft, sont en faveur de la communication responsable, tandis que chercheurs préfèrent une publication totale » a déclaré Katie Moussouris, principal responsable de la stratégie de sécurité chez Microsoft, dans une contribution blog en date du 22 juillet.
Cette prise de position a attiré le soutien de certains des plus grands noms de l’industrie IT (McAfee, Symantec, Paypal…).
Mais la stratège de la firme de Redmond voudrait avant tout que l’on se préoccupe des utilisateurs.
Microsoft prévoit de mettre en place un système de divulgation coordonné de vulnérabilité qui sera similaire aux systèmes actuels de divulgation responsable, mais avec une réserve.
En effet, si les attaques sont découvertes à l’état sauvage, les chercheurs et Microsoft donneront des informations sur le problème et publieront les solutions disponibles.
Si l’éditeur de logiciel est en désaccord avec les partisans de la divulgation complète, l’entreprise veut collaborer avec des chercheurs qui travaillent en vertu de ces principes pour que toute annonce soit coordonnée.
Matt Thomlinson, directeur général de la sécurité chez Trustworthy Computing, abonde dans le sens de Microsoft et prône une divulgation coordonnée dans l’intérêt de la sécurité des utilisateurs.
« Il est évident qu’à l’écoute de ces deux argumentaires extrêmes sur la divulgation des failles, il y a une chose que nous essayons tous de faire: protéger les clients » a-t-il déclaré pour sa part déclaré dans une contribution blog.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…