Passer au contenu

Les trous de sécurité encadrés par les éditeurs

Sous l’égide de l’Organization for Internet Safety, plusieurs sociétés viennent de présenter un projet visant à limiter les conflits entre les découvreurs de failles et les vendeurs de logiciels.

Négligence, maladresse ou nature inévitablement imparfaite de l’informatique : pas une semaine ne passe sans qu’un éditeur annonce la sortie d’un correctif destiné à colmater des problèmes de sécurité, après avoir été prévenu par
un particulier ou une société.Un mode de fonctionnement conflictuel, pris entre les deux feux du désir de publicité des découvreurs de faille et du délai nécessaire aux entreprises pour corriger leurs produits. L’Organization for Internet Safety (OIS) vient donc de
rendre publique la première version d’un
rapport destiné à réglementer la découverte et la résolution des problèmes de sécurité.L’OIS est composée de figures de l’informatique et de la sécurité, comme Microsoft, Oracle, Network Associates, Symantec et Guardent. Et d’éditeurs de logiciels (mais aucun découvreur de failles), qui souvent critiqués, proposent ici un
modus vivendi à l’ensemble de la communauté de la sécurité informatique.

Trente jours pour corriger une faille

Leur plan se présente sous la forme d’une succession d’étapes. Avec comme objectif un délai maximum de trente jours entre la découverte du problème et la mise à disposition d’un correctif.Première étape : le découvreur prévient l’éditeur du logiciel fautif. Celui-ci doit alors accuser réception de l’information sous sept jours. Si le découvreur ne reçoit pas cette confirmation, il doit envoyer un nouvel e-mail à
l’éditeur, qui dispose alors de trois jours pour répondre. Les fournisseurs ont d’ailleurs l’obligation de mettre en ligne toutes les informations nécessaires pour être contactés aisément en cas de découverte d’un trou de sécurité.Une autre période de trente jours s’ouvrira une fois la faille corrigée. De quoi permettre au vendeur d’informer en priorité les personnes et organisations jouant un rôle important dans la sécurisation d’Internet.Un cas reste toutefois un peu flou : celui où découvreur et éditeur ne s’entendent pas pour résoudre le problème ensemble. Aucune règle n’a été fixée, si ce n’est que quitter ce processus de conciliation ne doit pas se faire par
surprise.Organisme n’hébergeant, au moins actuellement, que des vendeurs de logiciels et aucune institution publique, l’OIS ne semble pas vouloir aller trop loin dans les contraintes. Des avis extérieurs pourraient toutefois le faire changer
dopinion, puisque ce document est soumis à commentaire pendant 30 jours. Une version définitive sera présentée fin juillet, lors de la conférence relative à la sécurité Black Hat USA 2003.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Ludovic Nachury