Depuis quelque temps, un débat houleux est (r)ouvert. Faut-il, oui ou non, rendre publiques les failles de sécurité ? La réponse a pourtant été donnée depuis longtemps. Lorsqu’un chercheur trouve une faille, il prévient l’éditeur concerné qui s’empresse de vérifier l’information et de publier le correctif. Une attitude responsable et pleine de bon sens. Mais les choses se corsent lorsque l’éditeur ne joue pas le jeu et nie la faille. C’est ce qu’a fait récemment Microsoft. Ce qui a d’ailleurs suscité la réouverture du débat. La société Online Solutions a trouvé une faille de sécurité dans Internet Explorer en novembre dernier. Aucune réaction de la part de Microsoft. Online Solution a fini par publier la faille. Colère de Microsoft qui a… quand même diffusé un correctif. Une histoire similaire a lieu en ce moment avec le vers Cool exploitant une faille que Microsoft a commencé par nier.Cette semaine, le Cert a dévoilé une faille dans le protocole SNMP. Les spécialistes s’attendent du coup à une recrudescence des attaques par SNMP dans les semaines à venir. C’est ennuyeux. Mais dans ce cas précis, la faille, découverte il y a six mois, concerne 228 fournisseurs. Faut-il attendre que tous aient publié leur correctif ? Et courir le risque que la communauté des pirates prenne connaissance de cette faille et l’exploite avant que les utilisateurs aient pris le minimum de précaution. Six mois, c’est quand même long. Que les éditeurs assument leurs responsabilités et ils n’auront pas à subir la contre-publicité quils redoutent tant.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
