me demande si on marche pas sur la tête... :'-( - Linux et OS Alternatifs
MarshPosté le 13-11-2001 à 16:33:50
Citation :
Sécurité : faut-il ou non divulguer les failles ? Microsoft et quelques autres entreprises souhaitent créer un code de bonne conduite pour endiguer la publication incontrôlée de failles de sécurité, soupçonnée de donner de mauvaises idées aux pirates... et de ternir l'image de marque des éditeurs.
Par l'envoyé spécial de CNET News.com, Robert Lemos 13 novembre 2001
MONTAIN VIEW (Californie) - Microsoft et cinq sociétés spécialisées dans la sécurité informatique vont créer une organisation pour favoriser la publication "responsable" d'informations sur les imperfections des logiciels. « Il y a un besoin de convergence industrielle autour d'un code de conduite pour la publication de failles de sécurité », a déclaré à notre rédaction américaine Eddie Schwartz, responsable des services de sécurité chez Gardent, firme américaine de conseil en sécurité et membre fondateur de la future organisation avec Microsoft. « Nous allons former une organisation pour nous aider à gérer ces vulnérabilités. Au final nous souhaitons développer quelques normes pour communiquer ».
Ce projet, annoncé le 8 novembre lors d'une conférence sur la "confiance et l'informatique" (Microsoft Trusted Computing Conference), n'est pas nouveau pour le géant des logiciels. En octobre 2000, Scott Culp, responsable du centre d'alerte en sécurité de Microsoft, avait publié un essai intitulé Il est temps de mettre fin à l'anarchie de l'information mettant en exergue le mal que pouvait causer la publication "non-éthique" des vulnérabilités de logiciels. Dans sa ligne de mire bien entendu : les hackers (au sens propre) qui prennent un malin plaisir à révéler les failles de tel ou tel logiciel, des révélations qui peuvent parfois donner des idées aux pirates ou "hackers à chapeaux noirs" (black hat hackers). Les vraies responsabilités sont ailleurs... « Notre réputation et nos pratiques parlent d'elles mêmes. Personne d'autre dans l'industrie ne révèle aussi volontiers les vulnérabilités de ses produits que Microsoft », a affirmé Culp à notre rédaction américaine. D'autres militants de cette école de pensée, qui en appelle à plus de responsabilité chez les hackers, sont pourtant loin de faire confiance à Microsoft. C'est le cas de Russ Cooper, qui s'est forgé une solide réputation avec sa mailing-list NT Bugtraq, qui a boycotté la conférence du 8 novembre en signe de protestation. Il a pourtant créé un groupe aux mêmes ambitions, le Responsible Disclosure Forum. « Microsoft est dans la ligne de mire car, ces derniers mois, des failles terribles ont été publiées à propos de la plupart de ses logiciels », rappelle un des membres de l'équipe de Kitetoa.com, un site français de vulgarisation sur la sécurité informatique. « Avec leurs logiciels troués, et la très grande diffusion de leurs produits, une faille importante touche des millions d'utilisateurs. Si un hacker diffuse une faille importante qui permet d'effectuer des piratages massifs, cela pose en effet un problème », poursuit cet observateur avisé de la question, puisque son site se gausse régulièrement des failles grossières qui traînent sur certains serveurs web... Il nous informe d'ailleurs qu'un autre manifeste de "divulgation responsable" a été lancé récemment, Antisecurity, qui réunit le site israélien Security.is et le groupe de hackers de haut vol ADM, fondé notamment par des français. Une démarche de justiciers lorsque l'on apprend leur volonté de créer une "blacklist" qui est censée regrouper « l'ensemble des groupes ou individus dans la communaute de la securite informatique, qui par leurs attitudes deservent, et nuisent aux developpeurs, aux administrateurs (...) en publiant ou en faisant fuire l'information dans des listes publiques ». Mais le vrai problème, conclut le membre de Kitetoa, « ce n'est pas de savoir s'il faut publier ou pas ». « C'est de savoir si oui ou non, Microsoft et les autres vont se remettre à faire des programmes non buggés. Car les vrais responsables de l'état d'insécurité totale des réseaux, ce sont les éditeurs de logiciels, les constructeurs de hardware et les administrateurs qui installent leurs systèmes n'importe comment. » [ZDnet news]
Marsh Posté le 13-11-2001 à 16:33:50
Sécurité : faut-il ou non divulguer les failles ?
Microsoft et quelques autres entreprises souhaitent créer un code de bonne conduite pour endiguer la publication incontrôlée de failles de sécurité, soupçonnée de donner de mauvaises idées aux pirates... et de ternir l'image de marque des éditeurs.
Par l'envoyé spécial de CNET News.com, Robert Lemos
13 novembre 2001
MONTAIN VIEW (Californie) - Microsoft et cinq sociétés spécialisées dans la sécurité informatique vont créer une organisation pour favoriser la publication "responsable" d'informations sur les imperfections des logiciels.
« Il y a un besoin de convergence industrielle autour d'un code de conduite pour la publication de failles de sécurité », a déclaré à notre rédaction américaine Eddie Schwartz, responsable des services de sécurité chez Gardent, firme américaine de conseil en sécurité et membre fondateur de la future organisation avec Microsoft. « Nous allons former une organisation pour nous aider à gérer ces vulnérabilités. Au final nous souhaitons développer quelques normes pour communiquer ».
Ce projet, annoncé le 8 novembre lors d'une conférence sur la "confiance et l'informatique" (Microsoft Trusted Computing Conference), n'est pas nouveau pour le géant des logiciels. En octobre 2000, Scott Culp, responsable du centre d'alerte en sécurité de Microsoft, avait publié un essai intitulé Il est temps de mettre fin à l'anarchie de l'information mettant en exergue le mal que pouvait causer la publication "non-éthique" des vulnérabilités de logiciels. Dans sa ligne de mire bien entendu : les hackers (au sens propre) qui prennent un malin plaisir à révéler les failles de tel ou tel logiciel, des révélations qui peuvent parfois donner des idées aux pirates ou "hackers à chapeaux noirs" (black hat hackers).
Les vraies responsabilités sont ailleurs...
« Notre réputation et nos pratiques parlent d'elles mêmes. Personne d'autre dans l'industrie ne révèle aussi volontiers les vulnérabilités de ses produits que Microsoft », a affirmé Culp à notre rédaction américaine. D'autres militants de cette école de pensée, qui en appelle à plus de responsabilité chez les hackers, sont pourtant loin de faire confiance à Microsoft. C'est le cas de Russ Cooper, qui s'est forgé une solide réputation avec sa mailing-list NT Bugtraq, qui a boycotté la conférence du 8 novembre en signe de protestation. Il a pourtant créé un groupe aux mêmes ambitions, le Responsible Disclosure Forum.
« Microsoft est dans la ligne de mire car, ces derniers mois, des failles terribles ont été publiées à propos de la plupart de ses logiciels », rappelle un des membres de l'équipe de Kitetoa.com, un site français de vulgarisation sur la sécurité informatique. « Avec leurs logiciels troués, et la très grande diffusion de leurs produits, une faille importante touche des millions d'utilisateurs. Si un hacker diffuse une faille importante qui permet d'effectuer des piratages massifs, cela pose en effet un problème », poursuit cet observateur avisé de la question, puisque son site se gausse régulièrement des failles grossières qui traînent sur certains serveurs web...
Il nous informe d'ailleurs qu'un autre manifeste de "divulgation responsable" a été lancé récemment, Antisecurity, qui réunit le site israélien Security.is et le groupe de hackers de haut vol ADM, fondé notamment par des français. Une démarche de justiciers lorsque l'on apprend leur volonté de créer une "blacklist" qui est censée regrouper « l'ensemble des groupes ou individus dans la communaute de la securite informatique, qui par leurs attitudes deservent, et nuisent aux developpeurs, aux administrateurs (...) en publiant ou en faisant fuire l'information dans des listes publiques ».
Mais le vrai problème, conclut le membre de Kitetoa, « ce n'est pas de savoir s'il faut publier ou pas ». « C'est de savoir si oui ou non, Microsoft et les autres vont se remettre à faire des programmes non buggés. Car les vrais responsables de l'état d'insécurité totale des réseaux, ce sont les éditeurs de logiciels, les constructeurs de hardware et les administrateurs qui installent leurs systèmes n'importe comment. »
[ZDnet news]
[edtdd]--Message édité par minusplus--[/edtdd]