Dans son propos, Scott Pulp, responsable sécurité chez Microsoft, explique que la communauté des hackers est en partie responsable des dernières attaques virales sur Internet.” Les gens qui ont écrit les vers informatiques ont été justement dénoncés comme des criminels. Mais ils avaient besoin d’aide pour dévaster les réseaux. Et nous, la communauté de la sécurité, nous leur avons fourni cette aide “, écrit-il.En publiant des informations explicites et en décrivant pas à pas la manière d’exploiter les trous de sécurité des logiciels, le responsable de Microsoft constate qu’elle a fourni aux pirates les moyens de leurs actions.Il dénonce ainsi une pratique qualifiée d’anarchie de l’information (information anarchy). “Il est grand temps pour nous d’arrêter de fournir aux pirates les plans pour construire leurs armes”, ajoute-t-il. Il demande ainsi aux professionnels de la sécurité d’attendre que les correctifs des éditeurs soient prêts avant de publier leurs informations sur le Net. “La situation actuelle est telle que même des novices peuvent construire des logiciels très destructifs “, conclut-il.Régulièrement critiqué sur la sécurité de ses logiciels, Microsoft relance donc le débat sur l’opportunité de garder les failles de sécurité des logiciels confidentielles, ou de les publier librement sur internet.
Internet pallie la démission des éditeurs
Des arguments jugés irrecevables par Hervé Schauer, fondateur de la société de sécurité informatique Hervé Schauer Consultants. “C’est totalement hors sujet, estime-t-il. Les consultants en sécurité ne publient pas sauvagement les failles qu’ils détectent dans les logiciels. Que certains pirates le fassent, c’est certain. Mais les spécialistes en sécurité informatique utilisent cette méthode en dernier recours “. En clair, lorsque l’éditeur fait la sourde oreille et ne corrige pas les trous de sécurité de son produit.” Certaines sociétés ont des relations très saines avec les experts en sécurité. Lorsqu’on leur signale une faille, ils la prennent en compte et nous tiennent au courant de leurs efforts pour y remedier. Ainsi, les choses sont réparées discrètement et la sécurité des clients est assurée, raconte Hervé Schauer. A contrario, il nous est arrivé de signaler des trous de sécurité à un éditeur sans jamais recevoir de réponse… “, se souvient-il.Dans ce cas extrême, si l’éditeur ne publie pas de correctif, les consultants en sécurité signalent la faille sur Internet pour avertir les administrateurs système du danger.” Les fournisseurs de logiciels ne doivent pas reporter la responsabilité de leurs fautes sur les hackers, estime Hervé Schauer. Si les assureurs font payer plus cher leurs clients utilisant certaines technologies, c’est parce que statistiquement elles sont plus dangereuses. C’est un fait qu’on ne peut nier en appelant les personnes malveillantes à garder leurs informations confidentielles. “Les professionnels de la sécurité ne semblent pas se reconnaître dans les pratiques dénoncées par Scott Pulp. Victime récurrente des agissements des pirates, Microsoft n’a pourtant pas besoin de se mettre à dos la communauté de la sécurité en jetant de l’huile sur le feu…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
