En collaboration avec Gordon Fowler
La procédure de divulgation des failles de sécurité est un problème qui préoccupe les entreprises. Après le guide de bonnes conduite publié par Google pour ses chercheurs, c'est au tour de Microsoft d'imposer aujourd'hui une nouvelle politique de divulgation des failles à son personnel.
Le document a pour objectif de simplifier la communication entre les employés de Microsoft et les éditeurs concernés. L’objectif est de réduire les risques que la publication de la vulnérabilité sur internet n'entraîne une exploitation par les pirates.
Pour mémoire, la politique de divulgation cordonnée (dont ce document est une évolution) veut qu'avant toute publication d'une faille, l'éditeur du logiciel concerné soit obligatoirement informé au préalable. Le méthode se positionne à l'opposé de l'approche « rendre tout public » qui selon certains, serait la meilleure façon d'améliorer la sécurité en mettant directement les éditeurs sous pression.
Désormais, pour chaque vulnérabilité découverte dans une solution tierce, les employés de Microsoft devront donc obligatoirement envoyer des notifications privées à l'organisme dont le produit est touché avant de publier un avis.
La politique ne s'applique pas uniquement aux chercheurs en sécurité de Microsoft, mais bien à tous ses employés. Elle concernera aussi bien les failles trouvées pendant les heures de travail, que celles découvertes au cours de travaux personnels (rappelons qu'un ingénieur de Google, Travis Ormandy, consacre visiblement son temps libre à trouver des failles dans Windows et à les publier, ceci expliquant certainement cela).
Microsoft s'engage ainsi pour toute faille découverte à ce que les informations techniques et la preuve de faisabilité (PoC) soient transmises à l'éditeur. La divulgation publique sera ensuite faite de manière coordonnée de telle sorte qu'un correctif soit réalisé avant que le grand public ne soit informé de la vulnérabilité par le MSRC (Microsoft Security Response Center).
En revanche, si l'éditeur du logiciel ne répond pas à la notification de Microsoft ou si l'exploitation de la faille par un pirate est avérée (exploit zero-day), alors les détails techniques de la vulnérabilité seront immédiatement mis à la disposition du public.
Ne reste alors plus aux éditeurs, dans ce cas de figure, qu'à colmater leurs failles dans l'urgence.
Source : Le document au format Word
Et vous ?
Que pensez-vous de cette nouvelle politique ? Etes-vous partisan(e) de cette méthode ou plutôt du « tout public » ?
Microsoft publie un nouveau document sur la politique de divulgation des failles
Des applications tierces, et l'impose à son personnel
Microsoft publie un nouveau document sur la politique de divulgation des failles
Des applications tierces, et l'impose à son personnel
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !