Discussion :

[Hinault Romaric]

Microsoft publie un nouveau document sur la politique de divulgation des failles
Des applications tierces, et l'impose à son personnel

En collaboration avec Gordon Fowler

La procédure de divulgation des failles de sécurité est un problème qui préoccupe les entreprises. Après le guide de bonnes conduite publié par Google pour ses chercheurs, c'est au tour de Microsoft d'imposer aujourd'hui une nouvelle politique de divulgation des failles à son personnel.

Le document a pour objectif de simplifier la communication entre les employés de Microsoft et les éditeurs concernés. L’objectif est de réduire les risques que la publication de la vulnérabilité sur internet n'entraîne une exploitation par les pirates.

Pour mémoire, la politique de divulgation cordonnée (dont ce document est une évolution) veut qu'avant toute publication d'une faille, l'éditeur du logiciel concerné soit obligatoirement informé au préalable. Le méthode se positionne à l'opposé de l'approche « rendre tout public » qui selon certains, serait la meilleure façon d'améliorer la sécurité en mettant directement les éditeurs sous pression.

Désormais, pour chaque vulnérabilité découverte dans une solution tierce, les employés de Microsoft devront donc obligatoirement envoyer des notifications privées à l'organisme dont le produit est touché avant de publier un avis.

La politique ne s'applique pas uniquement aux chercheurs en sécurité de Microsoft, mais bien à tous ses employés. Elle concernera aussi bien les failles trouvées pendant les heures de travail, que celles découvertes au cours de travaux personnels (rappelons qu'un ingénieur de Google, Travis Ormandy, consacre visiblement son temps libre à trouver des failles dans Windows et à les publier, ceci expliquant certainement cela).

Microsoft s'engage ainsi pour toute faille découverte à ce que les informations techniques et la preuve de faisabilité (PoC) soient transmises à l'éditeur. La divulgation publique sera ensuite faite de manière coordonnée de telle sorte qu'un correctif soit réalisé avant que le grand public ne soit informé de la vulnérabilité par le MSRC (Microsoft Security Response Center).

En revanche, si l'éditeur du logiciel ne répond pas à la notification de Microsoft ou si l'exploitation de la faille par un pirate est avérée (exploit zero-day), alors les détails techniques de la vulnérabilité seront immédiatement mis à la disposition du public.

Ne reste alors plus aux éditeurs, dans ce cas de figure, qu'à colmater leurs failles dans l'urgence.


Source : Le document au format Word


Et vous ?

Que pensez-vous de cette nouvelle politique ? Etes-vous partisan(e) de cette méthode ou plutôt du « tout public » ?

[cladsam]

Bonjour,

en lisant le début de la news j'aurais eu tendance à dire "je suis contre" car ca m'inspirait quelque chose du genre "on tente de masquer quitte à exposer l'utilisateur à des risques que la communauté aurait pu faire disparaitre."

En allant plus loin, le phrase :

En revanche, si l'éditeur du logiciel ne répond pas à la notification de Microsoft ou si l'exploitation de la faille par un pirate est avérée (exploit zero-day), alors les détails techniques de la vulnérabilité seront immédiatement mis à la disposition du public.

Me fait pencher pour l'inverse : on corrige avant qu'il soit connu que cette faille existe de sorte qu'on ne met pas les pirates potentiels sur une piste.
Dès lors que ce n'est plus possible car des pirates ont déjà découvert la faille, on met la communauté dans la boucle pour accélérer le traitement.
Ca me plait

[Neko]

Pour moi on peu bien évidement dire publiquement qu'une faille existe et dire son niveau de dangerosité, mais rien de plus.
Divulguer les détails techniques apporte une aide seulement dans le cas d'un logiciel Open Source, où des personnes externes peuvent éventuellement corriger la faille et soumettre un correctif.
Dans le cas d'un logiciel propriétaire, divulguer les détails techniques ne fera que mettre un peu plus en "danger" les utilisateurs. Donc autant éviter.

[Flaburgan]

si l'éditeur du logiciel ne répond pas à la notification de Microsoft

On revient dans l'éternel débat. S'il répond en disant "oui oui on va s'en occuper" mais que rien ne se passe, à partir de quand peut-on considérer qu'un PoC est nécessaire... ?

[Invité]

Euh quel est le rapport avec linux?

[Flaburgan]

Haha effectivement, le sujet a été posté dans le mauvais forum ^^ En arrivant depuis les actualités on fait plus gaffe...

[cs_ntd]

Euh quel est le rapport avec linux?

Sinon, moi j'approuve presque...

Je suis d'une manière générale, contre la divulgation des failles au grand publique. Du moins pas avant un long moment. Et quand je dit divulgation des failles, je veux parler des détails techniques. On peut dire qu'il y a une faille, mais quoi exactement, ni comment... (il y avait eu un long débat fut un moment... peut être a cause de l'histoire google/microsoft...).

C'est pas que je veuille "masquer" la réalité, mais faut pas se leurrer : tant que la majorité des utilisateurs refuserons de ce mettre à jour (qui a dit IE6 ?), il y aura toujours des pirates pour en profiter, ce qui est inacceptable à mon sens, même au non de la transparance...

[Elboras]

On revient dans l'éternel débat. S'il répond en disant "oui oui on va s'en occuper" mais que rien ne se passe, à partir de quand peut-on considérer qu'un PoC est nécessaire... ?

Oui je suis d'accord avec toi, le vrai soucis est la.
En même temps il est difficile de mettre une date général pour tous les editeurs.

Sur certaines vulnérabilités, Microsoft met plus d'un an pour la patcher par exemple (ce qui est bien trop important, mais bon certaines vulnérabilité demande beaucoup plus d'effort que d'autres).

Certaines sociétés comme Microsoft, ont des processus longs de validation pour leur patchs, alors qu'une petite société avec un logiciel simple devrait être en mesure de solutionner rapidement le problème.

Du coup je suis d'accord avec toi, on va avoir le droit à des dérives comme d'habitude, mais se mettre d'accord sur un délai doit aussi être très compliqué