Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les Etats-Unis veulent réglementer le commerce de failles logicielles
Pour empêcher la vente de défauts zero-day à l'étranger

Le , par Michael Guilloux

0PARTAGES

4  0 
Le département du commerce des Etats-Unis envisage d’instaurer des règles dans le marché des failles logicielles. Ces règles, déjà écrites et soumises aux commentaires du public pendant 60 jours, ont été annoncées la semaine dernière et visent à limiter l’aide de l’industrie nationale US de sécurité aux nations rivales.

L’Oncle Sam prévoit d’introduire de nouveaux contrôles autour de la vente de failles de sécurité en dehors du pays, à l’exception des autres nations membres des Five Eyes, à savoir le Canada, le Royaume-Uni, la Nouvelle Zélande et l’Australie.

Les nouvelles règles prévoient en effet de soumettre la vente et le support de failles de sécurité à une licence. Autrement dit, les entreprises et les chercheurs en sécurité aux Etats-Unis ne pourront pas vendre les failles qu’ils ont découvertes aux éditeurs de logiciels à l’étranger, ni à aucun autre service gouvernemental étranger en dehors des partenaires de la NSA, à moins d’avoir un permis spécial. Ils ne pourront pas non plus apporter de support pour corriger ces défauts de sécurité sans détenir de licence.

La réglementation porte sur les failles zero-day, ou défauts de sécurité qui ne seraient pas encore divulgués, ni connus par le fournisseur du logiciel. Elle serait par ailleurs le résultat d’un accord datant de 2013 qui stipule que certains logiciels devraient être soumis à des contrôles au même titre que les composants d'armes nucléaires et chimiques. Le département du Commerce US considère en effet les failles logicielles inconnues comme des armes potentielles, qui pourraient être exploitées par des régimes répressifs pour la surveillance. Il note donc la nécessité de protéger les droits humains dans le commerce de failles de logiciels.

Dans le milieu des chercheurs et entreprises de sécurité, cette mesure ne semble pas être la bienvenue. Pour certains chercheurs, cette réglementation ne pourra qu’entraver la collaboration transfrontalière et la vente de produits de défense.

«Je me souviens avoir pensé que donner des licences aux vendeurs de zero-day est une bonne idée à un degré. Vous empêchez quelqu'un aux États-Unis de vendre à l'Iran », a dit Adriel Desautels, directeur général de la société Netragard Inc. « Une certaine forme de licence ou de réglementation est utile. Mais la forme de réglementation proposée est potentiellement très dommageable pour l'industrie de la sécurité dans son ensemble ... C'est complètement stupide », a-t-il ajouté.

Si les grandes entreprises de sécurité ne devraient pas avoir de mal à embaucher des avocats pour obtenir une licence d’exportation des failles logicielles à l’étranger, Reuters rapporte que pour les petites entreprises et les chercheurs indépendants, cette réglementation sera beaucoup plus susceptible de les faire renoncer à la vente à travers les frontières, laissant ces marchés à des criminels.

« Cela pourrait avoir des impacts majeurs sur la façon dont nous faisons la recherche de la vulnérabilité et protégeons nos systèmes », a déclaré l'expert Rand Corp Lillian Ablon, qui a étudié les marchés zero-day. « Si nous limitons la capacité des chapeaux blancs de trouver les vulnérabilités, cela ne fait que faciliter les choses pour les méchants », a-t-il averti.

Il faut toutefois préciser que les logiciels open-source et ceux qui sont développés dans le cadre de la recherche scientifique ne sont pas soumis à la réglementation.

Source : Reuters

Et vous ?

Que pensez-vous de soumettre la vente de failles zero-day à une licence ?

Quelles seraient les implications dans le monde de la sécurité ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Zirak
Inactif https://www.developpez.com
Le 25/05/2015 à 9:48
En gros la NSA dit :

"Vous nous vendez les failles à nous, ou à d'autres avec licence (licence fournie une fois qu'on aura étudié la faille pour être sûr que cela en est bien une nouvelle, histoire qu'on sache s'en prémunir nous, tout en laissant les autres en position critique en attendant)"

Et bizarrement les seuls autres pays à qui ils peuvent vendre sans licence, c'est leurs copains télétubbies de leur groupe d'espionnage...

D'ailleurs le summum du foutage de gueule est dans cette phrase :

Il note donc la nécessité de protéger les droits humains dans le commerce de failles de logiciels
Après tout le bazar sur l'espionnage de masse, ils sont beaux les droits humains...
5  0 
Avatar de Suryavarman
Membre habitué https://www.developpez.com
Le 25/05/2015 à 9:39
NSA:"vous souhaitez vendre cette faille à cette entreprise Européenne?"
Mr X: "oui"
NSA:"Très bien monsieur, faites nous voir cette faille.... Ok vous aurez le feux vert dans deux ans...le temps que l'on exploite."

Et dans un an en France Herr Valls choisira que seul l'entreprise Dupont qui paie les bijoux a madame aura le droit de vendre des failles et de les chercher.

Entre temps c++ pour les nuls sera black liste car sera considéré comme un manuel pour les islamiste... Dommage que c++ pour les nuls ne paie pas lui aussi les bijoux à madame.
4  0 
Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 26/05/2015 à 8:55
Une licence sur les bugs, même Microsoft n'y avait pas pensé (ou osé). Ils doivent le regretter aujourd'hui.

Citation Envoyé par Mrsky Voir le message
Qui pour lancer le site www.laloilaplusconne.com ?
Pas si conne que ça la loi. Elle revient à empêcher les éditeurs d'antivirus et de malware de prendre connaissance de ces failles.

La bonne réponse serait que les sociétés étrangères ne vendent plus les failles zero days qu'ils découvrent aux entreprises états-uniennes. Mais comme il est question de fric, je n'y crois plus.
4  0 
Avatar de Mrsky
Membre expérimenté https://www.developpez.com
Le 25/05/2015 à 10:17
Citation Envoyé par Michael Guilloux Voir le message
Si les grandes entreprises de sécurité ne devraient pas avoir de mal à embaucher des avocats pour obtenir une licence d’exportation des failles logicielles à l’étranger, Reuters rapporte que pour les petites entreprises et les chercheurs indépendants, cette réglementation sera beaucoup plus susceptible de les faire renoncer à la vente à travers les frontières, laissant ces marchés à des criminels.
Des criminels? Ou simplement les mêmes personnes qui demain seront considérées comme telles alors qu'elle feront exactement la même chose qu'aujourd'hui?

Qui pour lancer le site www.laloilaplusconne.com ?
2  0 
Avatar de pierre-y
Membre expérimenté https://www.developpez.com
Le 25/05/2015 à 7:48
C'est pas comme interdire l'après vente d'une certaine façon?
1  1 
Avatar de Delioneras
Membre régulier https://www.developpez.com
Le 25/05/2015 à 9:18

Les nouvelles règles prévoient en effet de soumettre la vente et le support de failles de sécurité à une licence. Autrement dit, les entreprises et les chercheurs en sécurité aux Etats-Unis ne pourront pas vendre les failles qu’ils ont découvertes aux éditeurs de logiciels à l’étranger, ni à aucun autre service gouvernemental étranger en dehors des partenaires de la NSA, à moins d’avoir un permis spécial.
Je crois qu'on peut résumer l'article à cette section, simplement.

Un peu désespéré quand même de la part des world's tops.
0  0 
Avatar de earhater
Membre éclairé https://www.developpez.com
Le 25/05/2015 à 13:30
Qui pour lancer le site www.laloilaplusconne.com ?
je suis carrément partant
0  0 
Avatar de Algo D.DN
Membre éprouvé https://www.developpez.com
Le 25/05/2015 à 16:46
Le département du commerce des Etats-Unis envisage d’instaurer des règles dans le marché des failles logicielles. Ces règles visent à limiter l’aide de l’industrie nationale US de sécurité aux nations rivales.
Braves clients, après avoir acheté nos bouzins verrouillés tout plein de trous vous allez vous arracher nos rustines.

Il faut toutefois préciser que les logiciels open-source et ceux qui sont développés dans le cadre de la recherche scientifique ne sont pas soumis à la réglementation.
Après réflexion cette phrase me fait doucement ricaner, une sorte d’aveu dans l’art et la manière de s’enfoncer toujours plus... Mais bon, en même temps s’est pas comme s’ils pouvaient se permettre un affront.
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 26/05/2015 à 16:54
vendre une License d'exploitation d'un bug... Alors la je dis BRAVO ! Sont fort ces ricains quand même.
je suis totalement fan..

qui dit mieux ?
0  0 
Avatar de goomazio
Membre chevronné https://www.developpez.com
Le 27/05/2015 à 19:11
Citation Envoyé par fenkys Voir le message
Elle revient à empêcher les éditeurs d'antivirus et de malware de prendre connaissance de ces failles.
Ca interdirait la divulgation de failles publiquement, c'est ça ?

Finit aussi les "hackers éthiques" ?!? Comme ce monsieur Helkowski qui avait déjà reçu la visite du FBI.

Et Google devra changer sa politique qui, je cite, "consiste à révéler au grand public les failles de sécurité 90 jours après leur découverte."
http://www.tomsguide.fr/actualite/go...8-1,46038.html
0  0