Facebook remodèle sa politique de révélation des failles

Cloud

Afin de rassurer les chercheurs qui veulent collaborer en toute bonne foi avec Facebook, le règlement portant sur la manière de signaler des failles aux équipes de sécurité IT du réseau social a été modifié.

Facebook reconnaît qu’il doit encourager les chercheurs à scruter les failles de sécurité IT alors que le réseau social réactualise sa politique de révélation des vulnérabilités.

Cela fait longtemps que Facebook encourage les “chercheurs de bugs” à partager avec lui les informations portant sur les failles avant d’envisager une révélation grand public.

Cependant, les termes employés dans le précédent règlement laissaient à penser que les chercheurs risquaient des mesures de représailles de la part de Facebook.

“Nous avons modifié les clauses du règlement afin que les chercheurs se sentent davantage à l’aise s’ils souhaitent collaborer avec nous afin de réparer une faille”, explique Ryan McGeehan, Directeur en charge des réactions liées aux incidents de sécurité chez Facebook.

“La précédente version pouvait être interpellée ainsi : si un chercheur trouve une faille de sécurité, Facebook pourrait engager une action en justice à son encontre”, ajoute-t-il. “Ce n’est pas notre intention et nous avons levé l’ambiguïté sur le sujet il y a une semaine et demi.”

Le nouveau règlement stipule : “Si vous partagez des éléments de sécurité avec nous, si vous nous donnez un délai raisonnable de réaction avant de diffuser les informations au grand public, si les recherches sont menées avec bonne foi dans un objectif d’éviter des fuites ou la destruction de données personnelles ou l’interruption et la dégradation du service, nous ne porterons pas plainte devant la justice ou nous ne demanderons pas aux agences officielles de sécurité informatique d’initier un enquête à votre encontre”.

Ce problème lié à la politique de révélation (“disclosure policy”) constitue toujours un point sensible dans le monde de la sécurité IT.

Des éditeurs comme Google et Mozilla proposent des récompenses pécuniaires pour inciter les chercheurs à partager directement leurs informations dans leurs produits.

“Des gens bien intentionnés ont souvent peur d’entamer une discussion sur les failles de sécurité avec les éditeurs ou fournisseurs de services IT. Ils ne savent pas s’ils seront bien reçus ou s’ils seront remerciés avec une action en justice enclenchée à son encontre”, commente Marcia Hofmann, conseiller juridique senior pour le compte de l’Electronic Frontier Foundation (EFF), dans une contribution blog en date du 17 décembre.

L’organisation américaine, qui veille sur la protection des libertés civiles sur Internet, a contribué à l’élaboration de la nouvelle politique de sécurité IT chez Facebook.

“Ces tensions sont déplorables car les sociétés Internet ont besoin de savoir ce qui doit être corrigés afin d’améliorer la sécurité des sessions Internet.” (…)

Adaptation libre en français d’un article eWeek UK en date du 21/12/10 : Facebook Revises Bug Disclosure Policy


Lire la biographie de l´auteur  Masquer la biographie de l´auteur