Failles de sécurité : faut-il attendre avant de les dévoiler ?
Une enquête réalisée auprès de 300 responsables informatiques d’entreprises américaines révèle que 80 % d’entre eux préfèrent être rapidement informés d’une faille de sécurité, même si aucun correctif n’est prêt, plutôt que de travailler dans l’ignorance. Une opinion qui va à l’encontre de la volonté des grands éditeurs qui estiment à 30 jours le délai de rétention de ce type d’information, le temps de réaliser le patch.
Vaut-il mieux travailler en sachant que son système informatique contient une faille de sécurité que l’on ne peut pas corriger dans l’immédiat ou bien continuer à vivre dans l’ignorance (voire l’insouciance) jusqu’à la publication du correctif, au risque d’être finalement infecté ou victime d’une attaque informatique ? 80 % des entreprises américaines optent pour la première solution, selon une étude effectuée auprès de 300 sociétés et rapportée par notre confrère américain ZDNet.com. Même quand les éditeurs ne disposent d’aucune solution de sécurisation, les responsables informatiques préfèrent être informés des risques qu’ils encourent. Peut-être parce que deux tiers d’entre eux estiment comme négligeables ou bas les coûts générés par les failles.
Cette enquête fait écho à une récente déclaration de grands éditeurs, dont Microsoft, qui fustigeaient les internautes délurés de ne pas attendre l’arrivée d’un patch avant de publier les informations liées à la sécurité du système. Délai que les éditeurs estiment à 30 jours minimum. Au contraire, les deux tiers des utilisateurs interrogés veulent avoir l’information dans la semaine qui suit la découverte d’une faille, correctif prêt ou non. 40 % d’entre eux se contenteraient d’une description générale de la faille. 40 autres exigent un rapport détaillé. Mais peu d’entreprises estiment qu’il faudrait inclure le code source de l’application.
Il semble que ce désir d’information se manifeste par dépit plus que par un réel besoin de sécurisation. Plus de la moitié des 80 % de personnes favorables à la publication rapide des informations de sécurité les réclament pour mettre l’éditeur dans l’embarras. « Ils sont fatigués des éditeurs qui n’écrivent pas d’applications fiables », déclare à ZDNet.com Pete Lindstrom, consultant en sécurité. Aucun nom d’éditeur n’est évidemment cité mais Microsoft apparaît clairement en ligne de mire. Le problème de la sécurité ? ou plutôt de l’insécurité ? informatique atteint de telles proportions outre-Atlantique que la National Academy of Sciences demande une jurisprudence afin d’établir des règles claires sur les obligations de l’éditeur. Mais aucun projet de loi n’est à l’ordre du jour sur le sujet.
Et vous, qu’en pensez-vous ? Exprimez-vous sur notre Forum.