Google veut réinventer les règles de divulgation des failles
Avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs

Le , par Idelways, Expert éminent sénior
Après avoir été impliqué indirectement dans l'affaire Ormandy (et le débat qui déchaine encore les passions sur l'éthique de la divulgation des failles), Google vient de publier à une sorte de guide de bonne conduite destiné à ses chercheurs en sécurité.

Moutain View invite également le reste de la communauté IT à s'y conformer.

Le groupe des chercheurs de Google qui ont publié cet ensemble de recommandations sur le blog de l'entreprise estiment que la « divulgation responsable » semble être la plus saine mais est souvent à l'origine de laxisme de la part de de certains éditeurs.

L'approche inverse, « rendre tout public », serait quant à elle, et malgré son irresponsabilité apparente, la meilleure façon d'améliorer la sécurité puisqu'elle met la pression sur les entreprises dont les produits sont touchés par les failles. Mais elle peut également être dangereuse en donnant des méthodes quasiment clef en main aux pirates.

Google plaide donc pour un juste milieu. Cette nouvelle politique de divulgation des failles a pour but d'inciter les entreprises, qui comptent trop souvent sur la divulgation responsable, à être vertueux par eux-même en corrigeant les vulnérabilités dans des délais raisonnables.

Cette méthode prônée par Google propose de fixer une date limite de divulgation à toute vulnérabilité que les chercheurs rapportent aux éditeurs. La durée avant divulgation doit être proportionnelle à la gravité de la faille. La date limite peut être plus courte s'il existe des preuves que des pirates sont déjà à l'oeuvre.

Tout refus de correction (ou le dépassement de la date limite) entrainerait automatiquement la publication de la vulnérabilité.

Si l'idée est bonne, elle place aussi Google dans la position du Chevalier Blanc de la sécurité informatique. Et elle légitime également les décisions de son ingénieur, Travis Ormandy, en visant, sans le dire ouvertement, Microsoft.

Reste à savoir si le groupe de hackers anonymes qui a décidé de s'attaquer aux produits de Redmond pour venger les « diffamations » et le « mépris » envers les experts en sécurité affiché par Microsoft respecteront, eux aussi, cette charte de bonne conduite.

Source : Blog de Google Online Security

Lire aussi :

Un groupe anonyme veut se venger de Microsoft après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas

Les rubriques (actu, forums, tutos) de Développez :

Securité
Systèmes
Développement Web

Et vous ?

Google vous parait-il être à ce point à la pointe de la sécurité pour pouvoir se positionner en « donneur de leçons » ? Ou s'agit-il au contraire d'une très bonne initiative ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de worm83 worm83 - Membre éprouvé http://www.developpez.com
le 26/07/2010 à 20:02
Citation Envoyé par dams78  Voir le message
Tu peux développer les points qui te font sursauter? Ca permettrait de recadrer le débat.

Pleins de choses !!
D'ailleurs je tu l'as dit avant moi :

Citation Envoyé par dams78  Voir le message
Vous avez déjà exploité une faille de sécurité? Parce que à vous entendre ça a l'aire super facile...

La question à la base était :

Google vous parait-il être à ce point à la pointe de la sécurité pour pouvoir se positionner en « donneur de leçons » ? Ou s'agit-il au contraire d'une très bonne initiative ?

Google est-il à la pointe de la sécurité ?

Avec 10 000 ingénieures, je pense que oui ils doivent en avoir les moyens et les compétences. Après c'est tout dans le marketing, ils profitent de la tendance c'est tout, et de bonne guerre.
Bien sûre que c'est une bonne initiative, et j'espère que cela forcera les autres à surenchérir !!! Les boites telles que Google, Microsoft, Apple, Adobe aiment jouer sur la communication alors il faut qu'ils en profitent.

Ensuite pour le débat de fond mon avis est le suivant :

Il est normal qu'un éditeur d'une grande solution corrige ces failles, c'est même obligatoire surtout si la faille est classé de niveau important. Après le temps de correction dépend de la structure, une société structurée comme Microsoft ne pourra jamais répondre aussi vite qu'une communauté Open Source, et c'est normal, le temps que la hiérarchie fasse ses réunions pour savoir qui la corrigera ect.... bon vous avez compris on l'à tous vécu.
Mais l'éditeur DOIT prendre au sérieux la faille et la corriger

En partant de la (du fait que la faille doit être corrigée), oui il faut publier l'exploit, mais quelques temps après la diffusion/adoption du patch.
Bah oui parce que sinon on fait comment pour savoir si notre parc/machine est sensible ?

C'est ce que font pas mal de scanner de vulnérabilités utilisé par nos amis admins réseaux par exemple, ils tentent des exploits afin de vérifier que le parc ne comporte pas de maillions faibles.

Voici pour mon humble avis qui ne méritais pas de figurais ici, mais comme il est vrai que je l'ai ramenée....

cordialement
Avatar de Marco46 Marco46 - Expert éminent http://www.developpez.com
le 26/07/2010 à 22:21
@worm83

Ok avec toi mais je rajouterais 2 points :

1 / Si l'éditeur est visiblement de mauvaise foi, et je sais bien que cette assertion est très subjective, il faut publier pour forcer la main.

2 / Si la faille est corrigible, même temporairement, par un tiers, en désactivant tel ou tel module, en downgradant le logiciel, ou par toute autre manipulation réalisable par un administrateur réseau, il faut impérativement publier le pourquoi du comment ce qui induit quasi-nécessairement d'expliquer la faille. Et de l'explication au PoC il n'y a qu'un pas.
Avatar de GanYoshi GanYoshi - Membre chevronné http://www.developpez.com
le 27/07/2010 à 9:33
Tout ce dont vous parlez, ça reste de l'éthique quoi.

Selon votre éthique, un chercheur doit divulguer le résultat de son travail à l'éditeur, et même lui expliquer comment corriger ses erreurs.

Et bien sûr tout cela gratuitement.

Ils ont la belle vie les éditeurs avec votre éthique, des chercheurs en sécurité gratos... (certains développeur ont l'open-source en horreur, mais dès que ça touche plus leur métier, tout le monde doit tout partager, au nom de la sécurité du consommateur...)

Moi je dis que quelqu'un qui trouve une faille fait ce qu'il veut :
- Ne rien dire
- Informer (gratuitement ou pas) l'éditeur
- Informer (gratuitement ou pas) le public ou le plus offrant.
- Faire un PoC ou pas

Et c'est totalement légitime qu'il cherche à en tirer profit, au delà de toute considération de morale ou de sécurité de l'utilisateur. (qui n'est qu'un prétexte, quel bisounours est tombé dans le panneau ?)
Avatar de worm83 worm83 - Membre éprouvé http://www.developpez.com
le 27/07/2010 à 9:42
Je me suis directement mis dans le cas où : un mec trouve une faille et prévienT l'éditeur, que doit faire l'éditeur.

Oui le gars trouve une faille, il en fait ce qu'il veut on est d'accord mais je partais du principe que la personne est de bonne intention (même si ce n'était que sous entendu).
Avatar de Hellwing Hellwing - Membre chevronné http://www.developpez.com
le 27/07/2010 à 9:45
Citation Envoyé par GanYoshi  Voir le message
Et c'est totalement légitime qu'il cherche à en tirer profit, au delà de toutes considération de morale ou de sécurité de l'utilisateur. (qui n'est qu'un prétexte, quel bisounours est tombé dans le panneau ?)

Pour moi c'est prévisible, pas légitime. Je ne trouve pas bien de se faire de l'argent égoïstement sur la sécurité des gens. Et ca n'a rien à voir avec du bisournoursing.
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 27/07/2010 à 9:50
Si on publie le fait qu'il y a une faille de sécurité sur tel "truc", vous croyez pas que les "pirates" vont porter toute leur attention à la trouver, et que les hackers eux auront d'autre chose à faire et vont attendre que l'éditeur la corrige lui même?
En fait ce que je veux dire c'est que ne pas publier la faille ne veut pas dire que les pirates ne vont pas la trouver où bien même qu'ils ne la connaissent pas déjà.
Avatar de Hellwing Hellwing - Membre chevronné http://www.developpez.com
le 27/07/2010 à 10:03
Je préfère ne pas en être sûr tout en prévenant l'éditeur, que de divulguer la faille et être certain que tous les pirates sont au courant avant même que l'éditeur ait pu tenter quoi que ce soit.

[EDIT] Faute de temps
Avatar de GanYoshi GanYoshi - Membre chevronné http://www.developpez.com
le 27/07/2010 à 11:19
Citation Envoyé par Hellwing  Voir le message
Pour moi c'est prévisible, pas légitime. Je ne trouve pas bien de se faire de l'argent égoïstement sur la sécurité des gens. Et ca n'a rien à voir avec du bisournoursing.

Je trouve pas ça fondamentalement mal, d'autres le font bien.

Citation Envoyé par worm83
Je me suis directement mis dans le cas où : un mec trouve une faille et préviens l'éditeur, que doit faire l'éditeur.

Oui le gars trouve une faille, il en fait ce qu'il veut on est d'accord mais je partais du principe que la personne est de bonne intention (même si ce n'était que sous entendu).

Ah oui je suis d'accord alors.
Avatar de grafikm_fr grafikm_fr - Expert confirmé http://www.developpez.com
le 27/07/2010 à 11:24
Si Google veut absolument faire quelque chose, il peut aussi demander un projet de loi sur le sujet. Du genre: si la faille est signalée à l'éditeur et n'est pas corrigée dans les X jours, il est rendu coupable de négligence avec une amende à la clé.

Par contre faut pas rêver ce genre de loi passera jamais aux US...
Avatar de Hellwing Hellwing - Membre chevronné http://www.developpez.com
le 27/07/2010 à 11:47
Citation Envoyé par GanYoshi  Voir le message
Je trouve pas ça fondamentalement mal, d'autres le font bien.

Ah mais je suis tout à fait d'accord, ce n'est pas fondamentalement mal.
Juste que ce n'est pas une raison pour le cautionner sous toutes ses formes. C'est un fait avéré qu'on soit dans une société capitaliste pour un bon bout de temps mais pour moi ce n'est pas une raison pour affirmer que c'est bien. Enfin là on s'écarte du sujet, mais je voulais juste éclaircir ce point. ^^
Avatar de GanYoshi GanYoshi - Membre chevronné http://www.developpez.com
le 27/07/2010 à 11:58
Citation Envoyé par grafikm_fr  Voir le message
Si Google veut absolument faire quelque chose, il peut aussi demander un projet de loi sur le sujet. Du genre: si la faille est signalée à l'éditeur et n'est pas corrigée dans les X jours, il est rendu coupable de négligence avec une amende à la clé.

Par contre faut pas rêver ce genre de loi passera jamais aux US...

Alors qu'elle est bien passée en France pour les particuliers, sommés de sécuriser dans un temps donné leur réseau personnel qui pourrait servir à des pirates...
Pourquoi pas la même chose avec les éditeurs et leurs logiciels ?

@Hellwing
Oui on est d'accord en fait, je suis juste plus blasé encore.
Offres d'emploi IT
Ingénieur angularJS & angular2 H/F
ATC - Rennes - Bretagne - Rennes (35000)
2 Développeurs (H/F) Web & Mobile
ROXELLE - Ile de France - Paris (75008)
(H/F) CONSULTANT TECHNICO FONCTIONNEL SIRH CHEZ EDITEUR
STUDIO RH - Ile de France - Paris - 1er arrondissement

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil