IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Microsoft publie un nouveau document sur la politique de divulgation des failles des applications tierces


Sujet :

Sécurité

  1. #1
    Rédacteur
    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Microsoft publie un nouveau document sur la politique de divulgation des failles des applications tierces
    Microsoft publie un nouveau document sur la politique de divulgation des failles
    Des applications tierces, et l'impose à son personnel

    En collaboration avec Gordon Fowler

    La procédure de divulgation des failles de sécurité est un problème qui préoccupe les entreprises. Après le guide de bonnes conduite publié par Google pour ses chercheurs, c'est au tour de Microsoft d'imposer aujourd'hui une nouvelle politique de divulgation des failles à son personnel.

    Le document a pour objectif de simplifier la communication entre les employés de Microsoft et les éditeurs concernés. L’objectif est de réduire les risques que la publication de la vulnérabilité sur internet n'entraîne une exploitation par les pirates.

    Pour mémoire, la politique de divulgation cordonnée (dont ce document est une évolution) veut qu'avant toute publication d'une faille, l'éditeur du logiciel concerné soit obligatoirement informé au préalable. Le méthode se positionne à l'opposé de l'approche « rendre tout public » qui selon certains, serait la meilleure façon d'améliorer la sécurité en mettant directement les éditeurs sous pression.

    Désormais, pour chaque vulnérabilité découverte dans une solution tierce, les employés de Microsoft devront donc obligatoirement envoyer des notifications privées à l'organisme dont le produit est touché avant de publier un avis.

    La politique ne s'applique pas uniquement aux chercheurs en sécurité de Microsoft, mais bien à tous ses employés. Elle concernera aussi bien les failles trouvées pendant les heures de travail, que celles découvertes au cours de travaux personnels (rappelons qu'un ingénieur de Google, Travis Ormandy, consacre visiblement son temps libre à trouver des failles dans Windows et à les publier, ceci expliquant certainement cela).

    Microsoft s'engage ainsi pour toute faille découverte à ce que les informations techniques et la preuve de faisabilité (PoC) soient transmises à l'éditeur. La divulgation publique sera ensuite faite de manière coordonnée de telle sorte qu'un correctif soit réalisé avant que le grand public ne soit informé de la vulnérabilité par le MSRC (Microsoft Security Response Center).

    En revanche, si l'éditeur du logiciel ne répond pas à la notification de Microsoft ou si l'exploitation de la faille par un pirate est avérée (exploit zero-day), alors les détails techniques de la vulnérabilité seront immédiatement mis à la disposition du public.

    Ne reste alors plus aux éditeurs, dans ce cas de figure, qu'à colmater leurs failles dans l'urgence.


    Source : Le document au format Word


    Et vous ?

    Que pensez-vous de cette nouvelle politique ? Etes-vous partisan(e) de cette méthode ou plutôt du « tout public » ?

  2. #2
    Rédacteur
    Avatar de cladsam
    Profil pro
    Inscrit en
    Août 2003
    Messages
    1 785
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations forums :
    Inscription : Août 2003
    Messages : 1 785
    Points : 2 436
    Points
    2 436
    Par défaut
    Bonjour,

    en lisant le début de la news j'aurais eu tendance à dire "je suis contre" car ca m'inspirait quelque chose du genre "on tente de masquer quitte à exposer l'utilisateur à des risques que la communauté aurait pu faire disparaitre."

    En allant plus loin, le phrase :

    En revanche, si l'éditeur du logiciel ne répond pas à la notification de Microsoft ou si l'exploitation de la faille par un pirate est avérée (exploit zero-day), alors les détails techniques de la vulnérabilité seront immédiatement mis à la disposition du public.
    Me fait pencher pour l'inverse : on corrige avant qu'il soit connu que cette faille existe de sorte qu'on ne met pas les pirates potentiels sur une piste.
    Dès lors que ce n'est plus possible car des pirates ont déjà découvert la faille, on met la communauté dans la boucle pour accélérer le traitement.
    Ca me plait

  3. #3
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    Pour moi on peu bien évidement dire publiquement qu'une faille existe et dire son niveau de dangerosité, mais rien de plus.
    Divulguer les détails techniques apporte une aide seulement dans le cas d'un logiciel Open Source, où des personnes externes peuvent éventuellement corriger la faille et soumettre un correctif.
    Dans le cas d'un logiciel propriétaire, divulguer les détails techniques ne fera que mettre un peu plus en "danger" les utilisateurs. Donc autant éviter.

  4. #4
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 583
    Points
    3 583
    Par défaut
    si l'éditeur du logiciel ne répond pas à la notification de Microsoft
    On revient dans l'éternel débat. S'il répond en disant "oui oui on va s'en occuper" mais que rien ne se passe, à partir de quand peut-on considérer qu'un PoC est nécessaire... ?

  5. #5
    Invité
    Invité(e)
    Par défaut
    Euh quel est le rapport avec linux?

  6. #6
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 583
    Points
    3 583
    Par défaut
    Haha effectivement, le sujet a été posté dans le mauvais forum ^^ En arrivant depuis les actualités on fait plus gaffe...

  7. #7
    Membre éprouvé Avatar de cs_ntd
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Décembre 2006
    Messages
    598
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2006
    Messages : 598
    Points : 1 215
    Points
    1 215
    Par défaut
    Citation Envoyé par Mygale1978 Voir le message
    Euh quel est le rapport avec linux?


    Sinon, moi j'approuve presque...

    Je suis d'une manière générale, contre la divulgation des failles au grand publique. Du moins pas avant un long moment. Et quand je dit divulgation des failles, je veux parler des détails techniques. On peut dire qu'il y a une faille, mais quoi exactement, ni comment... (il y avait eu un long débat fut un moment... peut être a cause de l'histoire google/microsoft...).

    C'est pas que je veuille "masquer" la réalité, mais faut pas se leurrer : tant que la majorité des utilisateurs refuserons de ce mettre à jour (qui a dit IE6 ?), il y aura toujours des pirates pour en profiter, ce qui est inacceptable à mon sens, même au non de la transparance...

  8. #8
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    Juillet 2007
    Messages
    193
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Juillet 2007
    Messages : 193
    Points : 274
    Points
    274
    Par défaut
    Citation Envoyé par Flaburgan Voir le message
    On revient dans l'éternel débat. S'il répond en disant "oui oui on va s'en occuper" mais que rien ne se passe, à partir de quand peut-on considérer qu'un PoC est nécessaire... ?
    Oui je suis d'accord avec toi, le vrai soucis est la.
    En même temps il est difficile de mettre une date général pour tous les editeurs.

    Sur certaines vulnérabilités, Microsoft met plus d'un an pour la patcher par exemple (ce qui est bien trop important, mais bon certaines vulnérabilité demande beaucoup plus d'effort que d'autres).

    Certaines sociétés comme Microsoft, ont des processus longs de validation pour leur patchs, alors qu'une petite société avec un logiciel simple devrait être en mesure de solutionner rapidement le problème.

    Du coup je suis d'accord avec toi, on va avoir le droit à des dérives comme d'habitude, mais se mettre d'accord sur un délai doit aussi être très compliqué

Discussions similaires

  1. Réponses: 1
    Dernier message: 12/08/2014, 20h33
  2. Réponses: 6
    Dernier message: 21/04/2011, 11h01
  3. Microsoft publie un Livre Blanc sur Office et SharePoint 2010
    Par Gordon Fowler dans le forum Microsoft Office
    Réponses: 1
    Dernier message: 05/10/2010, 17h53
  4. Microsoft publie un Livre Blanc sur Office et SharePoint 2010
    Par Gordon Fowler dans le forum Actualités
    Réponses: 0
    Dernier message: 05/10/2010, 13h36
  5. [Admin] [BO 6.5] Nouveau document sur Univers inaccessible ?!
    Par ghohm dans le forum Administration-Migration
    Réponses: 4
    Dernier message: 29/09/2009, 18h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo