Monsieur X découvre une faille
critique dans un logiciel très utilisé, doit-il se
taire ou le crier sur la place publique ? Doit-il collaborer
discrètement avec l'éditeur, ou sortir le "goudron
et les plumes" pour humilier in peto les développeurs
du soft en question ? Ce débat divise depuis longtemps les
créateurs de logiciels et les compagnies de sécurité,
qui ont tous deux des intérêts considérables
à défendre : l'éditeur gagnerait à
ce qu'un patch soit disponible au moment même où la
faille est rendue publique, afin de limiter le scandale ; et
la compagnie de sécurité, comme le pirate, préféreraient
se faire mousser avant que quelqu'un d'autre ne le fasse à
leur place.
L'avis des principaux
intéressés
Prenons un peu d'altitude : que devient le débat lorsque
l'on s'éloigne des intérêts corporatistes ?
La réponse des entreprises est claire, et elle a été
recuillie par une étude
du
Hurwitz
Group : 80 % des 300 professionnels de la sécurité
interrogés se prononcent pour la publicité immédiate
des failles - en d'autres termes pour la solution du goudron
et des plumes. Les sondés ont pleinement conscience
des implications de leur choix : ils se prononcent pour que
les failles soient révélées avant même
que les éditeurs ne mettent à leur disposition un
patch, instantanément (dans 39 % des cas) ou dans la
semaine (28 %).
Un choix étonnant que celui
de ces spécialistes qui doivent protéger au quotidien
leurs systèmes d'information, rendus forcément plus
vulnérables lorsqu'une faille critique les affectant n'a
pas été corrigée. Mais ce choix n'est pas complètement
dépourvu de cohérence : la moitié des
sondés qui se déclarent pour la révélation
immédiate des failles le font par dépit, dans le but
avoué d'embarrasser les éditeurs. A leurs yeux, c'est
là la seule façon de forcer les fabriquants de logiciels
à réagir, et à corriger leurs failles.
Insatisfaction généralisée
Derrière ce mouvement d'humeur, une réalité
bien tangible : le faible niveau de qualité de certaines
applications, que les professionnels de la sécurité
- selon cette étude - ont beaucoup de mal à
avaler. Ce problème les oblige à maintenir une veille
constante sur l'étanchéïté de leurs systèmes
d'information : "Les utilisateurs finaux sont clairement
fachés par l'attitude des fabriquants, qui lancent des applications
qui ne sont pas sûres, et qui ne réagissent pas par
la suite quand les failles sont détectées" -
révèle l'étude.
Ce désenchantement en dit long
sur la confiance des professionnels quant à la volonté
des éditeurs de corriger leurs failles, surtout lorsqu'elles
ne sont pas connues du
grand
public. L'opinion des professionnels de la sécurité
prouve en tout cas que les efforts consentis par certains grands
éditeurs, Microsoft
en particulier, n'ont pas convaincu. Selon l'étude du
Hurwitz Group, certaines enteprises seraient même décidées
à traîner certains éditeurs en justice ...
Le chemin est encore long sur la voie du logiciel sans défaut,
et les consommateurs finaux demandent aux éditeurs un effort
beaucoup plus franc.
[Nicolas Six, JDNet]