Monsieur X découvre
une faille critique dans un logiciel très utilisé,
doit-il se taire ou le crier sur la place publique ?
Doit-il collaborer discrètement avec l'éditeur,
ou sortir le "goudron et les plumes" pour
humilier in peto les développeurs du soft
en question ? Ce débat divise depuis longtemps
les créateurs de logiciels et les compagnies
de sécurité, qui ont tous deux des intérêts
considérables à défendre :
l'éditeur gagnerait à ce qu'un patch soit
disponible au moment même où la faille
est rendue publique, afin de limiter le scandale ;
et la compagnie de sécurité, comme le
pirate, préféreraient se faire mousser
avant que quelqu'un d'autre ne le fasse à leur
place.
L'avis
des principaux intéressés
Prenons un peu d'altitude : que devient le débat
lorsque l'on s'éloigne des intérêts
corporatistes ? La réponse des entreprises
est claire, et elle a été recuillie par
une étude
du
Hurwitz
Group : 80 % des 300 professionnels de la
sécurité interrogés se prononcent
pour la publicité immédiate des failles -
en d'autres termes pour la solution du goudron et
des plumes. Les sondés ont pleinement
conscience des implications de leur choix : ils
se prononcent pour que les failles soient révélées
avant même que les éditeurs ne mettent
à leur disposition un patch, instantanément
(dans 39 % des cas) ou dans la semaine (28 %).
Un choix étonnant
que celui de ces spécialistes qui doivent protéger
au quotidien leurs systèmes d'information, rendus
forcément plus vulnérables lorsqu'une
faille critique les affectant n'a pas été
corrigée. Mais ce choix n'est pas complètement
dépourvu de cohérence : la moitié
des sondés qui se déclarent pour la révélation
immédiate des failles le font par dépit,
dans le but avoué d'embarrasser les éditeurs.
A leurs yeux, c'est là la seule façon
de forcer les fabriquants de logiciels à réagir,
et à corriger leurs failles.
Insatisfaction
généralisée
Derrière ce mouvement d'humeur, une réalité
bien tangible : le faible niveau de qualité
de certaines applications, que les professionnels de
la sécurité - selon cette étude -
ont beaucoup de mal à avaler. Ce problème
les oblige à maintenir une veille constante sur
l'étanchéïté de leurs systèmes
d'information : "Les utilisateurs finaux sont
clairement fachés par l'attitude des fabriquants,
qui lancent des applications qui ne sont pas sûres,
et qui ne réagissent pas par la suite quand les
failles sont détectées" - révèle
l'étude.
Ce désenchantement
en dit long sur la confiance des professionnels quant
à la volonté des éditeurs de corriger
leurs failles, surtout lorsqu'elles ne sont pas connues
du
grand
public. L'opinion des professionnels de la sécurité
prouve en tout cas que les efforts consentis par certains
grands éditeurs, Microsoft
en particulier, n'ont pas convaincu. Selon l'étude
du Hurwitz Group, certaines enteprises seraient même
décidées à traîner certains
éditeurs en justice ... Le chemin est encore
long sur la voie du logiciel sans défaut, et
les consommateurs finaux demandent aux éditeurs
un effort beaucoup plus franc.
|