Les plus grands acteurs du monde informatique viennent de s'allier autour d'une alliance ayant pour but d'évaluer de manière commune les vulnérabilités dont un produit informatique est affecté.
Les membres qui constituent cette alliance, à savoir : Cisco, Microsoft et Symantec ont annoncé la création de cet étalon-mètre des failles lors de la RSA Conférence de San Francisco.
L'idée est la suivante : un système de notation universel pour tous produits et tous découvreurs. Ainsi, les entreprises en particulier pourront sans doute procéder à des choix plus judicieux en ce qui concerne les correctifs à installer sur leur parc. En effet, peu de sociétés peuvent se permettre d'installer systématiquement tous les patchs qui sortent, vu leur nombre et ce que cela implique.
C'est aidé d'organismes tels que Qualys et ISS que l'alliance compte établir sa "normalisation". Cependant, malgré la bonne volonté émanant de ce projet, il demeure des points "obscurs" tels que la qualification "critique" pour une faille... Ainsi, l'alliance va jouer sur les mots pour palier aux différents systèmes et problèmes qui peuvent provenir de cette même faille : on ne lira plus "critique" mais "majeure" à propos d'une faille problématique...
Autre problème : les "chercheurs en faille" sont souvent indépendants et à moins d'un travail commun, l'alliance devra réinterpréter les bulletins des "indépendantistes". Mais comme tout est affaire de temps, le laps entre la publication et la réinterprétation rendra sûrement cette dernière inutile.
Enfin, quel crédit apporter à une "alliance d'évaluation" dont les membres sont "juges et partis" ' Bien que mentir sur la gravité d'une faille ne pourrait apporter que du tord à ces sociétés, la question de la déontologie demeure.
> c'est l'intention qui compte
Source : Informatique pour tous
