Pour gérer vos consentements :

Microsoft ajuste son processus de divulgation de failles de sécurité

Comment gérer la découverte de failles de sécurité ?

L’industrie de la sécurité IT et les grands éditeurs comme Microsoft sont en train de débattre du bien-fondé de la divulgation complète, c’est à dire la diffusion d’informations sur une faille avant qu’un patch ne soit disponible. Ou à l’inverse, de la « communication responsable », c’est à dire une diffusion restreinte d’informations sur une vulnérabilité jusqu’à ce qu’un correctif soit disponible.

« La plupart des fournisseurs, dont Microsoft, sont en faveur de la communication responsable, tandis que chercheurs préfèrent une publication totale » a déclaré Katie Moussouris, principal responsable de la stratégie de sécurité chez Microsoft, dans une contribution blog en date du 22 juillet.

Cette prise de position a attiré le soutien de certains des plus grands noms de l’industrie IT (McAfee, Symantec, Paypal…).

Mais la stratège de la firme de Redmond voudrait avant tout que l’on se préoccupe des utilisateurs.

Microsoft prévoit de mettre en place un système de divulgation coordonné de vulnérabilité qui sera similaire aux systèmes actuels de divulgation responsable, mais avec une réserve.

En effet, si les attaques sont découvertes à l’état sauvage, les chercheurs et Microsoft donneront des informations sur le problème et publieront les solutions disponibles.

Si l’éditeur de logiciel est en désaccord avec les partisans de la divulgation complète, l’entreprise veut collaborer avec des chercheurs qui travaillent en vertu de ces principes pour que toute annonce soit coordonnée.

Matt Thomlinson, directeur général de la sécurité chez Trustworthy Computing, abonde dans le sens de Microsoft et prône une divulgation coordonnée dans l’intérêt de la sécurité des utilisateurs.

« Il est évident qu’à l’écoute de ces deux argumentaires extrêmes sur la divulgation des failles, il y a une chose que nous essayons tous de faire: protéger les clients » a-t-il déclaré pour sa part déclaré dans une contribution blog.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

5 mois ago