Discussion :

[ALT]

Le plus drôle c'est que Google ne corrige (volontairement) pas certaines failles de ses logiciels car ce serait trop compliqué à faire !

Mais annoncer une faille publiquement au bout quelques semaines est, à mon avis, une bonne chose. On n'est pas obligé d'en divulguer tous les détails. Mais pouvoir annoncer "attention : tel logiciel est une bouse" a plus d'impact sur un éditeur que de ne rien dire.
Et une faille soi-disant secrète & jamais corrigée aura toutes les chances d'être exploitée par un pirate, car, tôt ou tard, quelqu'un la découvrira & la publiera sur des forums spécialisés. Donc, le secret est la pire des attitudes.
D'ailleurs, pendant très longtemps, ce fut l'argument de Microsoft pour ne rien corriger. Coïncidence, depuis qu'ils se sont inquiétés de sécurité, leurs logiciels sont plus stables.

[Pierre GIRARD]

...Celui-ci prend pour exemple la liste de diffusion du noyau Linux, qui est assez réactif dans le traitement des failles de sécurité. « Le délai sur la liste de sécurité du noyau est de cinq jours ouvrables. Certaines personnes pensent que c’est un peu extrême. Dans d’autres projets, le délai est d’un mois ou deux. Mais, c’est encore mieux que des années et des années de silence », explique celui-ci....
Et vous ?

Etes-vous pour ou contre la divulgation des failles, même si un correctif n’est pas disponible ? Pourquoi ?

Je continue à dire que si ça n'est pas fait en trois mois, c'est que le priorité de l'éditeur n'est pas dans la correction des failles. Dans ces conditions : Un peu de pression ne peut pas faire de mal.

Heureusement que Linus Torvald ne demande pas 5 jours à µSoft pour corriger ses failles comme pour le noyau Linux.

[gangsoleil]

Heureusement que Linus Torvald ne demande pas 5 jours à µSoft pour corriger ses failles comme pour le noyau Linux.

Attention, tu ne peux pas comparer ce qui est fait dans le noyau Linux d'un coté et ce qui se fait à l'échelle d'un OS de l'autre. Il faudrait comparer les patchs sur le noyau de Windows, ce qui ne peut pas se faire car Windows est closed-source et qu'on ne sait pas vraiment ce qui est du noyau de ce qui ne l'est pas.

[Pierre GIRARD]

Attention, tu ne peux pas comparer ce qui est fait dans le noyau Linux d'un coté et ce qui se fait à l'échelle d'un OS de l'autre. Il faudrait comparer les patchs sur le noyau de Windows, ce qui ne peut pas se faire car Windows est closed-source et qu'on ne sait pas vraiment ce qui est du noyau de ce qui ne l'est pas.

Certes, pour nous, mais c'est pas closed-source pour µSoft. C'est à eux de savoir gérer leur machin et à mettre les bonnes personnes aux bons endroits. Et au passage de gérer les priorités.

Les corrections des failles existantes.

ou

Les futurs OS/Applications.

Je suis persuadé que dès qu'une faille est découverte dans le noyau Linux, les développeurs mettent en sommeil leurs nouveaux ajouts au noyau pour ce concentrer sur les failles. Sinon, ça serait impossible en 5 jours. Une fois le problème corrigé, ils se remettent à leurs ajouts ... et tant pis si ça a pris un peut de retard.

[Matthieu Vergne]

Pour ma part, je suis d'avis qu'une limite fixe avant publication est une bonne idée, mais seulement si la publication est large : en effet, si l'information ne parvient qu'à ceux qui suivent les forums techniques, ce qui inclut ceux qui vont aider à résoudre mais aussi ceux qui vont les exploiter, les utilisateurs lambda sont laisés dans l'affaire. En revanche, si l'information circule jusqu'aux utilisateurs lambda, et cela même si la limite est très réduite (e.g. 1 semaine), les utilisateurs auront au moins la possibilité d'utiliser différemment l'outil (voire de ne plus l'utiliser du tout) jusqu'à ce qu'un correctif soit déployé. Cela dit, la propagation de cette information, c'est pas le boulot du forum technique ou de celui qui trouve la faille. C'est le boulot des médias. Si la publication n'est pas suivie de la réaction des médias pour diffuser l'info, alors ça ne fait qu'attiser le feu.

Donc pour résumé, les deux points de vue (diffuser pose problème + diffuser est nécessaire) sont justifiés. Cela dit, là où la diffusion rapide devient une meilleure solution, c'est là où les médias sont efficaces.

[GrandFather]

Disons que ce que fait Google est plutôt bénéfique à long terme, mais peut avoir des effets pervers à court terme.

On pourrait imaginer une action un peu moins radicale et plus graduelle : informer d'abord l'éditeur, comme c'est fait actuellement, et 90 jours après informer de l'existence de la faille et de sa gravité si celle-ci n'a pas encore été corrigée, mais sans donner d'indications techniques trop précises qui permettraient son exploitation. Et, à l'issue d'un nouveau délai (30 jours ?), si celle-ci n'est toujours pas corrigée, là tout rendre publique.

[gangsoleil]

On pourrait imaginer une action un peu moins radicale et plus graduelle : informer d'abord l'éditeur, comme c'est fait actuellement, et 90 jours après informer de l'existence de la faille et de sa gravité si celle-ci n'a pas encore été corrigée, mais sans donner d'indications techniques trop précises qui permettraient son exploitation. Et, à l'issue d'un nouveau délai (30 jours ?), si celle-ci n'est toujours pas corrigée, là tout rendre publique.

Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.

[Laurent 1973]

Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.

Tout dépend la démarche qu'entreprend l'éditeur "responsable".
S'il a pris en compte le problème et il est en cours de réalisation d'un correctif c'est différent que s'il s'en fou complètement et joue l'autruche.

Imaginez une faille un peu pêchue remontée fin juin à un éditeur français: je suis pas sur qu'avec tout les congés de juillet/août elle soit corrigée en septembre [Irony inside]

[ZenZiTone]

Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.

C'est un peu comme les amandes super impressionnantes (peur eux hein) pour non respect de la vie privée ou autre...

Je pense qu'un délai fixe permet de forcer un peu la main, ce qui n'est pas un mal.

[GrandFather]

Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.

30/30, 45/45, 30/15, peu importe la durée totale et/ou la répartition, l'important à mon avis serait que la publication de la faille se fasse en deux phases, une avec informations restreintes et l'autre complète. Et durant le délai qui s'écoule entre les deux, ce sont des jours durant lesquels tous les utilisateurs sont au courant de l'existence d'une faille majeure, et dont ils savent que l'éditeur a connaissance depuis déjà un moment. Petite pression...

[landry161]

Et une faille soi-disant secrète & jamais corrigée aura toutes les chances d'être exploitée par un pirate, car, tôt ou tard, quelqu'un la découvrira & la publiera sur des forums spécialisés.

Rien n'est également impossible même quand elle est rendue publique

[Matthieu Vergne]

Mais quand elle est publique, ça permet justement aux gens qui n'ont pas la possibilité de la corriger de réagir quand même, et non d'être à la merci de ceux qui ont l'info.

[Pierre GIRARD]

L'avantage de la découverte de la faille par Google, c'est que le premier informé est l'éditeur (µSoft ou Apple dans les cas présent). Car le problème est : que se passe-t-il si bien avant Google, quelqu'un de mal intentionné découvre cette faille ? Combien de temps lui faut-il pour développer un Malware, Cheval de trois ou autre ?

En fait, quand Google découvre une faille, c'est peut-être déjà trop tard, et dans ce cas, le délais de 90 jours n'est pas vraiment aussi scandaleux que ça. Et au delà, informer les utilisateurs des risque me semble plutôt une bonne chose.

[landry161]

Mais quand elle est publique, ça permet justement aux gens qui n'ont pas la possibilité de la corriger de réagir quand même, et non d'être à la merci de ceux qui ont l'info.

Ouais si ils sont vraiment réactifs

[gibsonSG_76]

Tout dépend du contexte,
Pour les gars qui développent des petits sites internets c'est con de balancer les failles et c'est surtout gratuit...
Pour les grosses firmes pleines de frics, ça les obligeraient à investir du pognon dans la sécu, sujet qu'ils approfondissent rarement au profit du profit ..

[Matthieu Vergne]

Ouais si ils sont vraiment réactifs

Comme dit plus haut, question de médias. On a eu droit a une tuerie et le soir même plein de monde était dans la rue : les gens sont réactifs, dès lors qu'ils sont informés correctement.

[psychadelic]

90 jours c'est un délai énorme.
Et sa détection est donne d'énormes indications sur sa problématique, et ne peut qu'aider à fiabiliser l'ensemble du soft, voir même d'autres logiciels.

En 90 jours, on peut en brasser du code, alors chercher des excuses pour ne pas faire le job et augmenter ce délai, c'est franchement malsain.

Comme dit plus haut, dans les équipes sur Linux, eux quand une faille est signalée, il ne s'autorisent que 5 Jours pour sa correction !