Quand la divulgation de failles de sécurité demeure un problème épineux
Quand une vulnérabilité est découverte sur un système, on se pose toujours la fameuse question : devrait-on la divulguer où la garder secrète ?
Dans un premier temps, nous savons tous que le fait de divulguer peut-être utile à la protection de chaque personne étant affilié au système qui vient d’être corrompu.
Cet article peut aussi vous intéresser : Une faille de sécurité sur iPhone qui pourrait permettre des Jailbreaks d’iOS de façon permanente
En effet, les différents utilisateurs pourront commencer à prendre des précautions qui vont peut-être leurs sauver la vie ou sauver leurs données personnelles. Cependant, les entreprises demeurent toujours prudentes. Ce qui fait de la divulgation un sujet assez sensible.
Dans une enquête International initiée par 451 Research pour la structure Veracode, plusieurs professionnels de la sécurité informatique ont été interrogés sur la question. 90 % des personnes qui ont répondu aux demandes de l’enquête ’ont considéré que le fait de divulguer publiquement des failles de sécurité « sert à améliorer la façon dont les logiciels sont développés, utilisés et corrigés ». Ces derniers ont estimé que le fait de pouvoir identifier ses failles permet de remédier efficacement au problème, et d’assurer une meilleure protection numérique.
Cependant il ne faut pas occulter une chose. Informer publiquement de l’existence d’une faille de sécurité, relève d’une obligation légale. Car cela y va de la sécurité des usagers.
Malgré cela, seulement 9 % des professionnels IT ayant découvert une faille de sécurité les derniers mois ont décidé de la divulguer publiquement. Par ailleurs 75 % des institutions interrogées, ont affirmé avoir des procédures déterminées qui permettent de faire des rapports constants des bugs ou encore des vulnérabilités découvertes. Cependant un tiers d’entre eux redoutent ce genre de communication.
37 % des institutions concernés ont affirmé avoir une fois reçu des rapports des divulgations qu’il ne souhaitait pas durant ces 12 derniers mois. Et une organisation sur deux ont financé des bug Bounty, ces chasses à la faille de sécurité qui récompense celui qui en trouve. On sait tous que ce sont des stratégies plus saines et finissent toujours par une divulgation publique.
Par ailleurs n’oublions pas que le mois de juillet dernier Apple reprochait à Google à travers son Project zéro de semer la peur auprès des utilisateurs de manière non conforme à certaines failles de sécurité liées à ses appareils. Pour dire tout simplement qu’il y a toujours un problème qui nait quand les vulnérabilités sont publicisées sans l’assentiment véritable de l’organisation visée. En outre, une faille de sécurité en principe doit être divulguée. Pourquoi ? Tout simplement parce que cela il va de la sécurité des usagers qui sont d’une manière ou d’une autre sont liés à des services dépendants du système corrompu. Cela il va de la protection numérique, de la préservation de leurs données personnelles mais aussi de leurs portefeuilles.
Mais cela ne veut pas dire que ces divulgations doivent se faire sans contrôle ni réglementation. Si on doit l’imposer, il faut pouvoir trouver le juste milieu. D’une part faire en sorte que les firmes concernées n’en pâtissent pas trop. En effet, publier trop rapidement les vulnérabilités peuvent mettre en mal la crédibilité des firmes. Surtout si c’est une faille qui est née d’une négligence.
Accédez maintenant à un nombre illimité de mot de passe :