Responsible Disclosure
2013 est à peine commencé et déjà, nous en voyons de toutes les couleurs. Du scandale, en passant par la découverte de plusieurs problématiques majeures dans différents produits. Tout ceci ramène un débat important à l’avant plan.
Comment, une personne qui découvre une vulnérabilité doit-elle en informer le fabriquant du produit? Doit-elle informer ce fabriquant?
En fait, lors de la découverte d’une faille dans un produit de sécurité, deux choix s’offre généralement à la personne ayant découvert la faille en question. Le premier, informer le fabriquant, sans rendre les détails des vulnérabilités publiques. Le deuxième, rendre toutes les informations disponibles, en même temps, à tous, sur l’Internet. Dans un cas comme dans l’autre, il y a des avantages et des inconvénients. Il est cependant de notre avis que, la divulgation responsable des informations techniques sur les nouvelles failles de sécurité fait parti des devoirs de la personne faisant la découverte d’une faille de sécurité.
Il y a souvent plusieurs obstacles pour une personne devant rapporter une vulnérabilité. Le premier, il faut savoir à qui rapporter la vulnérabilité. Cela peu sembler anodin, mais, comment faire pour trouver la bonne personne alors que tout ce qu’une personne a à sa disposition est un formulaire de contact sur le site web d’une multinationale? Une fois la bonne personne trouvée, il faut que toutes les personnes concernées demeurent en contact aussi longtemps qu’il faudra à la compagnie pour fixer le problème. À cette étape, tous les partis doivent faire preuve de bonne volonté. La personne à l’origine de la découverte doit comprendre que l’action de l’entreprise peut parfois être longue. L’entreprise, elle, doit prendre action et faire preuve de bonne volonté. Bref, elle doit prendre ses responsabilités.
Lorsque le problème est réglé, la compagnie doit avertir ses clients qu’il y a un problème dans leur produit et qu’une mise à jour est disponible. Lors de cette annonce, il est important que le nom de la personne ayant découvert la faille de sécurité soit, sauf si celle-ci ne le désire pas, annoncé par la compagnie.
Ce qui est important au final, c’est que les clients de l’entreprise ciblée ne se retrouvent pas avec un problème de sécurité important sur les bras sans être en mesure de se protéger.
Par contre, qu’arrive t-il si l’entreprise ciblée ne répond pas à l’appel fait par la personne ayant découvert les failles dans son système?
Une personne, dans cette situation, doit-elle oui ou non rendre l’information publique? Et si elle le fait, est-elle protégée par la loi?
Toutes les réponses… Dans un prochain post :P