Citation:
En matière de publication de failles de sécurité, Filiol, à l'instar de nombreux autres professionnels de la sécurité informatique présents au SSTIC, ne sait plus quoi penser: «On est dans une situation ubuesque: rien n'interdit à un individu de dénoncer le fait qu'une voiture soit vendue sans frein, dans le monde logiciel, l'individu serait condamné.»
Nombre de chercheurs et universitaires, rencontrés au SSTIC, mais aussi le 9 juin lors d'une réunion d'un groupe de professionnels (Ossir), se demandent ainsi s'il ne convient pas de «s'autocensurer». S'ils publient des failles, ils risquent d'être attaqués. S'ils n'en publient pas, ce sont les utilisateurs des produits buggués qui en feront les frais. S'ils contactent l'éditeur du produit visé, rien ne l'oblige à jouer le jeu; or, la publication de telles failles est justement le moyen de pression utilisé pour qu'ils les corrigent.
Citation:
D'un point de vue scientifique, Éric Filiol ne comprend pas pourquoi on n'interdirait pas dès lors les cours de chimie, où il a appris à manier des explosifs, ou des voitures qui peuvent servir de béliers. En tant que professeur de virologie, il est amené à demander à ses étudiants de créer des virus, afin de leur faire comprendre comment ils fonctionnent, et donc d'améliorer le développement des antivirus: «Est-ce que le laboratoire de virologie aura le droit de travailler? Nous formons 3.500 personnes des quatre armées chaque année...»
Pour ce qui est du cas spécifique du type de Google, j'ai déjà répondu sur ce fil et je suis d'accord avec vous, il n'est pas normal de publier une faille aussi vite (avec PoC ou pas, peu importe). Là où je ne suis plus d'accord c'est lorsque vous dites que publier une faille (même avec une démo) = terrorisme ou criminalité. C'est comme ça que le monde de la sécurité fonctionne.