Ils sont tous là : Microsoft, Sun, Cisco ou encore IBM, sans compter bon nombre de spécialistes de la sécurité. Ils forment l’Organization for Internet Security (OSI), et se proposent de dicter un code de bonne conduite aux spécialistes de la sécurité lorsque ceux-ci découvrent une faille dans un produit. Au c?”ur du débat, une question vieille comme le monde (informatique) : faut-il dévoiler les défauts des programmes dès leur découverte, ou attendre que l’éditeur ait écrit un correctif ?Le bon sens veut, bien sûr, que l’éditeur soit contacté en premier, qu’il réagisse rapidement et que la faille soit annoncée peu après, avec un correctif. Mais, plusieurs exemples, l’an dernier, ont montré que l’éditeur ne joue pas le jeu. Ainsi, Microsoft a-t-il parfois pour habitude de nier une faille, jusqu’à ce que son inventeur publie une démonstration pratique.Cela est arrivé à plusieurs reprises en 2001, et a poussé l’éditeur à rallier quelques confrères à ses côtés afin de restreindre la diffusion des failles de sécurité. Le tollé provoqué par cette tentative a, depuis, porté ses fruits. En effet, la proposition présentée à l’Internet Engineering Taskforce ( IETF) semble équilibrée et prévoit des devoirs et des obligations réalistes pour chacune des parties.
Les éditeurs ont un mois pour réparer une faille de sécurité
Selon ces termes, les éditeurs devraient créer une adresse e-mail standard pour centraliser les messages d’alerte et acquitter leur réception sous dix jours. Ils auraient ensuite un mois pour régler le problème grâce à un correctif, un changement dans la configuration par défaut du produit, etc.Après ce délai, le spécialiste peut publier sa découverte en détail s’il le souhaite, ou offrir éventuellement un délai supplémentaire. Il doit cependant assister l’éditeur dans la résolution de la faille et respecter les délais promis.Ce document ne présente en revanche aucun caractère impératif, et ne fait qu’établir un cadre préférable. Aujourd’hui ouvert à la consultation publique, il deviendra éventuellement un standard d’Internet selon la norme de lIETF.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
