Les failles de sécurité doivent-elles être rendues publiques ?
Procéder ainsi est-il bénéfique pour les utilisateurs ?
Pour certaines entreprises, les failles de sécurité sur les produits doivent être rendues publiques afin de mettre la pression sur les éditeurs de ces produits pour créer des correctifs afin de protéger les utilisateurs. D’autres, par contre, estiment que procéder ainsi expose plus les utilisateurs, car la faille pourrait être exploitée par des pirates avant la sortie d’un correctif.
En début de ce mois, Microsoft s’était notamment insurgée contre Google pour la publication des failles de sécurité dans Windows, dont un correctif n’était pas encore disponible.
Le programme « Google Project Zero » de Google permet à ses experts en sécurité de répertorier des failles de sécurité dans des applications. Lorsqu’une vulnérabilité est enregistrée, une notification est envoyée à l’éditeur de la solution touchée, et la faille est divulguée publiquement 90 jours après, qu’un correctif soit disponible ou non.
Google suppose que la marge de 90 jours est suffisante pour permettre aux éditeurs des produits affectés de créer et publier un correctif. Passé ce délai, on pourrait donc considérer que l’éditeur accorderait moins d’importance à la sécurité de ses utilisateurs.
De plus, tant que la faille n’est pas publique, l’éditeur n’est pas inquiet et préfère investir dans ce qui est plus urgent plus lui : mettre sur le marché de nouveaux produits afin d’augmenter son revenu. De ce fait, une faille de sécurité connue peut demeurer plusieurs années sans correctif. Pourtant, le fait qu’elle ne soit pas publique ne signifie pas pour autant qu’elle n’est pas exploitée par un pirate.
Linus Torvalds, père du noyau Linux, s’est aligné derrière Google lors d’une séance de questions/réponses à l’occasion de la conférence « Linux.conf.au ». « Je crois que les problèmes de sécurité doivent être rendus publics. Il y a des personnes qui soutiennent et ont soutenu pendant des décennies que vous ne devez jamais parler publiquement des problèmes de sécurité, parce que cela peut aider les chapeaux noirs [N.D.L.R, les pirates]. Je pense que vous devez aboutement divulguer les failles, et vous devez le faire dans un délai raisonnable », a affirmé Linus Torvalds.
Celui-ci prend pour exemple la liste de diffusion du noyau Linux, qui est assez réactif dans le traitement des failles de sécurité. « Le délai sur la liste de sécurité du noyau est de cinq jours ouvrables. Certaines personnes pensent que c’est un peu extrême. Dans d’autres projets, le délai est d’un mois ou deux. Mais, c’est encore mieux que des années et des années de silence », explique celui-ci.
Microsoft, de son côté, plaide plutôt une action de façon concertée. Ainsi, les détails sur une faille ne devraient être publiés qu’après la disponibilité d’un correctif. La firme défend son point de vue en mettant en avant le fait que lorsque le secret est gardé sur une faille, le risque d’exploitation de celle-ci est moins élevé, et donc les utilisateurs sont plus en sécurité.
Et vous ?
Etes-vous pour ou contre la divulgation des failles, même si un correctif n’est pas disponible ? Pourquoi ?
Partager