Comment gérer la découverte de failles de sécurité ?
L’industrie de la sécurité IT et les grands éditeurs comme Microsoft sont en train de débattre du bien-fondé de la divulgation complète, c’est à dire la diffusion d’informations sur une faille avant qu’un patch ne soit disponible. Ou à l’inverse, de la « communication responsable », c’est à dire une diffusion restreinte d’informations sur une vulnérabilité jusqu’à ce qu’un correctif soit disponible.
« La plupart des fournisseurs, dont Microsoft, sont en faveur de la communication responsable, tandis que chercheurs préfèrent une publication totale » a déclaré Katie Moussouris, principal responsable de la stratégie de sécurité chez Microsoft, dans une contribution blog en date du 22 juillet.
Cette prise de position a attiré le soutien de certains des plus grands noms de l’industrie IT (McAfee, Symantec, Paypal…).
Mais la stratège de la firme de Redmond voudrait avant tout que l’on se préoccupe des utilisateurs.
Microsoft prévoit de mettre en place un système de divulgation coordonné de vulnérabilité qui sera similaire aux systèmes actuels de divulgation responsable, mais avec une réserve.
En effet, si les attaques sont découvertes à l’état sauvage, les chercheurs et Microsoft donneront des informations sur le problème et publieront les solutions disponibles.
Si l’éditeur de logiciel est en désaccord avec les partisans de la divulgation complète, l’entreprise veut collaborer avec des chercheurs qui travaillent en vertu de ces principes pour que toute annonce soit coordonnée.
Matt Thomlinson, directeur général de la sécurité chez Trustworthy Computing, abonde dans le sens de Microsoft et prône une divulgation coordonnée dans l’intérêt de la sécurité des utilisateurs.
« Il est évident qu’à l’écoute de ces deux argumentaires extrêmes sur la divulgation des failles, il y a une chose que nous essayons tous de faire: protéger les clients » a-t-il déclaré pour sa part déclaré dans une contribution blog.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…