Discussion :

[Idelways]

Google veut réinventer les règles de divulgation des failles
Et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?




Après avoir été impliqué indirectement dans l'affaire Ormandy (et le débat qui déchaine encore les passions sur l'éthique de la divulgation des failles), Google vient de publier à une sorte de guide de bonne conduite destiné à ses chercheurs en sécurité.

Moutain View invite également le reste de la communauté IT à s'y conformer.

Le groupe des chercheurs de Google qui ont publié cet ensemble de recommandations sur le blog de l'entreprise estiment que la « divulgation responsable » semble être la plus saine mais est souvent à l'origine de laxisme de la part de de certains éditeurs.

L'approche inverse, « rendre tout public », serait quant à elle, et malgré son irresponsabilité apparente, la meilleure façon d'améliorer la sécurité puisqu'elle met la pression sur les entreprises dont les produits sont touchés par les failles. Mais elle peut également être dangereuse en donnant des méthodes quasiment clef en main aux pirates.

Google plaide donc pour un juste milieu. Cette nouvelle politique de divulgation des failles a pour but d'inciter les entreprises, qui comptent trop souvent sur la divulgation responsable, à être vertueux par eux-même en corrigeant les vulnérabilités dans des délais raisonnables.

Cette méthode prônée par Google propose de fixer une date limite de divulgation à toute vulnérabilité que les chercheurs rapportent aux éditeurs. La durée avant divulgation doit être proportionnelle à la gravité de la faille. La date limite peut être plus courte s'il existe des preuves que des pirates sont déjà à l'oeuvre.

Tout refus de correction (ou le dépassement de la date limite) entrainerait automatiquement la publication de la vulnérabilité.

Si l'idée est bonne, elle place aussi Google dans la position du Chevalier Blanc de la sécurité informatique. Et elle légitime également les décisions de son ingénieur, Travis Ormandy, en visant, sans le dire ouvertement, Microsoft.

Reste à savoir si le groupe de hackers anonymes qui a décidé de s'attaquer aux produits de Redmond pour venger les « diffamations » et le « mépris » envers les experts en sécurité affiché par Microsoft respecteront, eux aussi, cette charte de bonne conduite.

Source : Blog de Google Online Security


Lire aussi :

Un groupe anonyme veut se venger de Microsoft après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas


Les rubriques (actu, forums, tutos) de Développez :

Securité
Systèmes
Développement Web


Et vous ?

Google vous parait-il être à ce point à la pointe de la sécurité pour pouvoir se positionner en « donneur de leçons » ? Ou s'agit-il au contraire d'une très bonne initiative ?


En collaboration avec Gordon Fowler

[guilhem91]

Globalement, je dirais que c'est une bonne initiative, même si je reste partisan du "rendre tout public". En effet, c'est à mon avis le seul moyen pour décider une entreprise à publier une mise à jour rapidement. Dans le système prôné par Google, certes, la faille est finalement corrigée, mais avec un certain retard, et rien n'empêche un pirate déterminé de l'exploiter avant que la mise à jour ne soit publiée. De plus, qui fixera la date limite avant publication ?

Tandis qu'avec la stratégie "rendre tout public", au moins la correction des failles ne traîne pas. Et ça marche pas si mal : il n'y a qu'à voir Linux.