Discussion :

[Matthieu Vergne]

Ouais si ils sont vraiment réactifs

Comme dit plus haut, question de médias. On a eu droit a une tuerie et le soir même plein de monde était dans la rue : les gens sont réactifs, dès lors qu'ils sont informés correctement.

[Pierre GIRARD]

...Celui-ci prend pour exemple la liste de diffusion du noyau Linux, qui est assez réactif dans le traitement des failles de sécurité. « Le délai sur la liste de sécurité du noyau est de cinq jours ouvrables. Certaines personnes pensent que c’est un peu extrême. Dans d’autres projets, le délai est d’un mois ou deux. Mais, c’est encore mieux que des années et des années de silence », explique celui-ci....
Et vous ?

Etes-vous pour ou contre la divulgation des failles, même si un correctif n’est pas disponible ? Pourquoi ?

Je continue à dire que si ça n'est pas fait en trois mois, c'est que le priorité de l'éditeur n'est pas dans la correction des failles. Dans ces conditions : Un peu de pression ne peut pas faire de mal.

Heureusement que Linus Torvald ne demande pas 5 jours à µSoft pour corriger ses failles comme pour le noyau Linux.

[gangsoleil]

Heureusement que Linus Torvald ne demande pas 5 jours à µSoft pour corriger ses failles comme pour le noyau Linux.

Attention, tu ne peux pas comparer ce qui est fait dans le noyau Linux d'un coté et ce qui se fait à l'échelle d'un OS de l'autre. Il faudrait comparer les patchs sur le noyau de Windows, ce qui ne peut pas se faire car Windows est closed-source et qu'on ne sait pas vraiment ce qui est du noyau de ce qui ne l'est pas.

[Pierre GIRARD]

Attention, tu ne peux pas comparer ce qui est fait dans le noyau Linux d'un coté et ce qui se fait à l'échelle d'un OS de l'autre. Il faudrait comparer les patchs sur le noyau de Windows, ce qui ne peut pas se faire car Windows est closed-source et qu'on ne sait pas vraiment ce qui est du noyau de ce qui ne l'est pas.

Certes, pour nous, mais c'est pas closed-source pour µSoft. C'est à eux de savoir gérer leur machin et à mettre les bonnes personnes aux bons endroits. Et au passage de gérer les priorités.

Les corrections des failles existantes.

ou

Les futurs OS/Applications.

Je suis persuadé que dès qu'une faille est découverte dans le noyau Linux, les développeurs mettent en sommeil leurs nouveaux ajouts au noyau pour ce concentrer sur les failles. Sinon, ça serait impossible en 5 jours. Une fois le problème corrigé, ils se remettent à leurs ajouts ... et tant pis si ça a pris un peut de retard.

[Matthieu Vergne]

Pour ma part, je suis d'avis qu'une limite fixe avant publication est une bonne idée, mais seulement si la publication est large : en effet, si l'information ne parvient qu'à ceux qui suivent les forums techniques, ce qui inclut ceux qui vont aider à résoudre mais aussi ceux qui vont les exploiter, les utilisateurs lambda sont laisés dans l'affaire. En revanche, si l'information circule jusqu'aux utilisateurs lambda, et cela même si la limite est très réduite (e.g. 1 semaine), les utilisateurs auront au moins la possibilité d'utiliser différemment l'outil (voire de ne plus l'utiliser du tout) jusqu'à ce qu'un correctif soit déployé. Cela dit, la propagation de cette information, c'est pas le boulot du forum technique ou de celui qui trouve la faille. C'est le boulot des médias. Si la publication n'est pas suivie de la réaction des médias pour diffuser l'info, alors ça ne fait qu'attiser le feu.

Donc pour résumé, les deux points de vue (diffuser pose problème + diffuser est nécessaire) sont justifiés. Cela dit, là où la diffusion rapide devient une meilleure solution, c'est là où les médias sont efficaces.

[GrandFather]

Disons que ce que fait Google est plutôt bénéfique à long terme, mais peut avoir des effets pervers à court terme.

On pourrait imaginer une action un peu moins radicale et plus graduelle : informer d'abord l'éditeur, comme c'est fait actuellement, et 90 jours après informer de l'existence de la faille et de sa gravité si celle-ci n'a pas encore été corrigée, mais sans donner d'indications techniques trop précises qui permettraient son exploitation. Et, à l'issue d'un nouveau délai (30 jours ?), si celle-ci n'est toujours pas corrigée, là tout rendre publique.

[gangsoleil]

On pourrait imaginer une action un peu moins radicale et plus graduelle : informer d'abord l'éditeur, comme c'est fait actuellement, et 90 jours après informer de l'existence de la faille et de sa gravité si celle-ci n'a pas encore été corrigée, mais sans donner d'indications techniques trop précises qui permettraient son exploitation. Et, à l'issue d'un nouveau délai (30 jours ?), si celle-ci n'est toujours pas corrigée, là tout rendre publique.

Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.

[Laurent 1973]

Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.

Tout dépend la démarche qu'entreprend l'éditeur "responsable".
S'il a pris en compte le problème et il est en cours de réalisation d'un correctif c'est différent que s'il s'en fou complètement et joue l'autruche.

Imaginez une faille un peu pêchue remontée fin juin à un éditeur français: je suis pas sur qu'avec tout les congés de juillet/août elle soit corrigée en septembre [Irony inside]

[ZenZiTone]

Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.

C'est un peu comme les amandes super impressionnantes (peur eux hein) pour non respect de la vie privée ou autre...

Je pense qu'un délai fixe permet de forcer un peu la main, ce qui n'est pas un mal.

[GrandFather]

Sans vouloir être méchant, si 90 jours n'ont pas suffi pour corriger la faille, je ne vois pas en quoi 30 de plus permettraient quoi que ce soit.

30/30, 45/45, 30/15, peu importe la durée totale et/ou la répartition, l'important à mon avis serait que la publication de la faille se fasse en deux phases, une avec informations restreintes et l'autre complète. Et durant le délai qui s'écoule entre les deux, ce sont des jours durant lesquels tous les utilisateurs sont au courant de l'existence d'une faille majeure, et dont ils savent que l'éditeur a connaissance depuis déjà un moment. Petite pression...

[gibsonSG_76]

Tout dépend du contexte,
Pour les gars qui développent des petits sites internets c'est con de balancer les failles et c'est surtout gratuit...
Pour les grosses firmes pleines de frics, ça les obligeraient à investir du pognon dans la sécu, sujet qu'ils approfondissent rarement au profit du profit ..