Les politiques de communication
autour des failles de sécurité demeurent
un point jugé extrêmement critique par les entreprises
en général... et les éditeurs de
solutions logiciel en particulier, notamment au vu de
leur position en première ligne lors de la découverte
de problèmes de sécurité produit.
Dernier chapitre en date sur ce terrain : les nombreuses
critiques adressées depuis quelques semaines à
l'américain Internet Security Systems (ISS) à
propos de certaines annonces récentes.
La
faille de BIND dévoilée trop tôt
Petit retour en
arrière : cette société américaine spécialisée
dans la détection d'intrusions et l'évaluation des vulnérabilités
dévoile courant novembre l'existence de failles touchant
au serveur de noms de domaines du projet opensource BIND
(Berkeley Internet Name Domain) ainsi qu'au service de
polices de caractère du système d'exploitation Solaris
(Sun). Or, ces données auraient été publiées sans
laisser aux éditeurs en question le temps de mettre au
point les correctifs adéquats... D'où la levée de boucliers
qui s'en est suivie.
Pourquoi
autant de réactions à l'égard d'ISS
suite à cette affaire ? Au delà des
dangers engendrés par une telle pratique, ce
mouvement s'explique sans doute par l'aura dont jouit
ISS sur le segment de la détection d'intrusion.
Selon une étude publiée récemment
par IDC, cette société de services détient
27% de ce marché et enregistre un chiffre d'affaires
d'au moins 65% supérieur à ses concurrents directs.
Un
arbitrage au cas par cas du timing
Pour couper court
à toute critique, ISS vient tout juste de publier
un ensemble de règles de bonne conduite visant
à clarifier ses procédures de communication
client. Dans un document baptisé Vulnerability
Disclosure Guidelines, elle précise notamment
que ses alertes sont diffusées publiquement au
moins 24 heures (et 30 jours au plus) après leur
découverte. Objectif affiché : laisser
aux éditeurs responsables le temps de réagir
et de développer un patch. "Cette démarche,
liée à notre service d'informations (X-Force),
n'a pas changé. Le but de cette publication est
simplement de la préciser", indique sur
ce point un porte parole d'ISS (dixit EarthWeb).
Il
est vrai que le travail d'ISS est loin d'être aisé. Dans
certains cas, la société de Palo Alto se donne la possibilité
d'accélérer le processus. C'est notamment vrai si une
alarme concernant tel ou tel produit est diffusée en avant
première via un autre canal, la presse professionnelle
par exemple. Entre un besoin d'informations rapides côté
clients et la nécessité de disposer de temps côté
fournisseurs, la marge de manoeuvre d'ISS se situe dans
un mouchoir de poche.
|