Les éditeurs cherchent à contrôler les divulgations de failles

Un groupe d’éditeurs parmi lesquels Microsoft, Oracle et des spécialistes de la sécurité informatique comme Network Associates, Guardent ou Symantec, réunis au sein de l’OIS (Organization for Internet safety), a publié mercredi 4 juin un document visant à encadrer les relations entre les découvreurs de failles de sécurité dans les logiciels et les éditeurs concernés. Il formalise le processus de découverte d’un problème, la recherche d’un correctif et sa diffusion. Plutôt que de rendre publique toute découverte d’une nouvelle faille, ce qui ouvre la porte à une utilisation nuisible de cette information par des hackers, l’OIS préconise que le découvreur communique dans un premier temps le problème à l’éditeur, qui doit obligatoirement en accuser réception dans un délai maximal de sept jours. Il est en suite prévu que l’éditeur et le découvreur s’entendent sur un délai pour trouver une parade, en fonction de la gravité et de la difficulté technique du problème, délai qui de doit pas excéder trente jours. Une fois le correctif mis au point, il est enfin demandé au découvreur de garder secrets les détails techniques de la faille pendant au moins trente jours, le temps que l’éditeur prévienne ses clients et que ceux-ci aient le temps de réagir.

Un tiers indépendantAu premier abord, cette initiative semble louable. Il y a quelque temps, Microsoft, dont la faillibilité des produits n’est un mystère pour personne, était favorable au maintien d’un black-out total sur les trous de sécurité, précisément pour ne pas tenter les vandales de l’informatique, avant d’amender récemment sa position et de plaider pour une diffusion « responsable ». C’est cette notion de diffusion responsable que l’OIS tente aujourd’hui de clarifier. Ses préconisations rappellent ce qui se pratique dans le monde des logiciels libres, dont un des atouts unanimement reconnu, en comparaison des logiciels du marché, est d’être plus sûrs. Dans le cas de Linux, il revient en effet au CERT (Computer Emergency Response Team), structure financée par le ministère américain de la Défense, de centraliser les nouveaux problèmes de sécurité, de prévenir les personnes concernées ? en l’occurrence les distributeurs – et de leur fixer une date butoir pour sortir un correctif. Ce qui manque au projet de l’OIS, c’est peut être justement la désignation d’un tiers indépendant des éditeurs qui, à l’instar du CERT, serait le garant du respect de la procédure. Par exemple, si éditeur et découvreur ne s’entendent pas sur le délai pour trouver une parade, que se passe-t-il ? A l’évidence, le projet de l’OIS souffre lui-même de quelques failles.