Failles : plus de divulgation responsable pour Microsoft...

Le par  |  0 commentaire(s)
faille

...mais de la divulgation coordonnée de vulnérabilités.

failleDans le domaine de la sécurité informatique et la découverte de vulnérabilités, deux clans s'opposent avec d'un côte les vendeurs comme Microsoft qui plaident pour la divulgation responsable, et de l'autre moult chercheurs qui demeurent attachés à la divulgation publique ( full disclosure ). Cette dernière est souvent utilisée en dernier recours par quelques découvreurs de failles afin de donner un petit coup de pied au derrière d'éditeurs qu'ils estiment parfois trop lents à réagir dans leurs actions correctrices.

Avec le full disclosure, tous les détails relatifs à une vulnérabilité de sécurité sont rendus publics avant même qu'un correctif adéquat ne soit conçu. Avec la divulgation dite responsable, ces détails sont passés sous silence tant que la rustine n'est pas prête.

Ardant défenseur de la divulgation responsable, Microsoft n'a pas véritablement changé son fusil d'épaule mais embrasse une nouvelle philosophie en la matière, qui s'apparente tout autant à un simple glissement sémantique. La firme de Redmond ne souhaite plus parler de divulgation responsable mais de divulgation coordonnée des vulnérabilités : " coordination et collaboration sont requises pour résoudre les problèmes de façon à minimiser le risque et la gêne pour les clients ", indique un billet sur le blog The Microsoft Security Response Center.

Le principe n'est pas fondamentalement différent de la divulgation responsable. Pour toute découverte d'une nouvelle vulnérabilité, le vendeur du produit ( logiciel, matériel, service ) est prévenu directement ou via un organe comme un CERT qui communique de manière privée les informations à ce vendeur. Si le cas échéant des attaques en relation sont perpétrées, des détails préliminaires sur la vulnérabilité peuvent être publiés via un travail mené de concert entre le découvreur et le vendeur afin de délivrer un message clair et les mesures de contournement pour que les clients puissent se protéger.

Pour Microsoft, il s'agit surtout de mettre un petit peu d'eau dans son vin après avoir très sévèrement critiqué le chercheur Tavis Ormandy pour sa divulgation publique d'une vulnérabilité affectant d'anciennes versions de Windows. Ce dernier avait prévenu Microsoft de sa trouvaille, et seulement cinq jours plus tard avait procédé à du full disclosure en apprenant que Microsoft n'avait pas l'intention de s'engager à corriger la faille dans les deux mois.

Sans évidemment adhérer au full disclosure, mais en n'employant plus le terme responsable associé à divulgation qui froisse plus d'un chercheur en sécurité dès lors catalogués comme des irresponsables, Microsoft tente de calmer un peu le jeu. Cette nouvelle philosophie de Microsoft, soi-disant décidée bien avant l'affaire Ormandy, ne mettra toutefois pas un terme au débat polémique sur le full disclosure.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]