Microsoft veut standardiser les annonces de failles informatiques
Cinq sociétés spécialisées dans la sécurité informatique, plus Microsoft, viennent d’annoncer leur intention de créer une association chargé de communiquer « officiellement » sur les failles de sécurité. Face à l’anarchie des annonces faites par les hackers bienveillants, Microsoft veut apporter une nouvelle discipline.
Microsoft à la tête d’un club sur la sécurité informatique. L’information pourrait faire sourire certains détracteurs mais la firme de Redmond a bel et bien annoncé son intention de créer une telle organisation avec cinq sociétés spécialisées dans la sécurité informatique. L’information a été rendue publique lors de la Microsoft Trusted Computing Conference, une conférence organisée par l’éditeur. Outre Microsoft, on trouve parmi les premiers adhérents Guardent, @stake, Bindview, Foundstone ainsi que Internet Security System.
L’objectif avoué de cette organisation, ouverte à tout acteur du monde du logiciel, est de détecter les failles de sécurité, prévenir les intéressés et publier les patchs de sécurité. L’association prévoit aussi de développer une méthode standard pour communiquer sur les failles de sécurité.
L’annonce de Microsoft rappelle crûment un essai publié par un haut responsable de la firme visant à démontrer le caractère irresponsable de certaines personnes révélant publiquement les failles de sécurité. En clair, Microsoft dénonce les révélations que peuvent faire certaines personnes et qui pourraient servir à des personnes malintentionnées avant qu’un patch ne soit disponible. L’association semble donc reprendre et mettre en application cet essai. Microsoft veut très clairement sinon empêcher la communication des alertes, du moins l’inscrire dans un cadre restreint.
Un patch sous 30 jours
Tout le problème est de savoir si on peut faire confiance à des éditeurs qui, sans la pression médiatique, risquent bien de ne pas se presser pour trouver une solution aux failles de leurs logiciels. Les membres de l’association s’engagent toutefois à respecter un délai de 30 jours pour trouver un patch à une faille de sécurité décelée.