Comment gérer la découverte de failles de sécurité ?
L’industrie de la sécurité IT et les grands éditeurs comme Microsoft sont en train de débattre du bien-fondé de la divulgation complète, c’est à dire la diffusion d’informations sur une faille avant qu’un patch ne soit disponible. Ou à l’inverse, de la « communication responsable », c’est à dire une diffusion restreinte d’informations sur une vulnérabilité jusqu’à ce qu’un correctif soit disponible.
« La plupart des fournisseurs, dont Microsoft, sont en faveur de la communication responsable, tandis que chercheurs préfèrent une publication totale » a déclaré Katie Moussouris, principal responsable de la stratégie de sécurité chez Microsoft, dans une contribution blog en date du 22 juillet.
Cette prise de position a attiré le soutien de certains des plus grands noms de l’industrie IT (McAfee, Symantec, Paypal…).
Mais la stratège de la firme de Redmond voudrait avant tout que l’on se préoccupe des utilisateurs.
Microsoft prévoit de mettre en place un système de divulgation coordonné de vulnérabilité qui sera similaire aux systèmes actuels de divulgation responsable, mais avec une réserve.
En effet, si les attaques sont découvertes à l’état sauvage, les chercheurs et Microsoft donneront des informations sur le problème et publieront les solutions disponibles.
Si l’éditeur de logiciel est en désaccord avec les partisans de la divulgation complète, l’entreprise veut collaborer avec des chercheurs qui travaillent en vertu de ces principes pour que toute annonce soit coordonnée.
Matt Thomlinson, directeur général de la sécurité chez Trustworthy Computing, abonde dans le sens de Microsoft et prône une divulgation coordonnée dans l’intérêt de la sécurité des utilisateurs.
« Il est évident qu’à l’écoute de ces deux argumentaires extrêmes sur la divulgation des failles, il y a une chose que nous essayons tous de faire: protéger les clients » a-t-il déclaré pour sa part déclaré dans une contribution blog.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
