[Helpc] Les entreprises ne supportent plus les failles applicatives
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Tue, 9 Jul 2002 05:43:03 +0200
Les entreprises ne supportent plus les failles applicatives
Monsieur X découvre une faille critique dans un logiciel très utilisé,
doit-il se taire ou le crier sur la place publique ? Doit-il collaborer
discrètement avec l'éditeur, ou sortir le "goudron et les plumes" pour
humilier in peto les développeurs du soft en question ? Ce débat divise
depuis longtemps les créateurs de logiciels et les compagnies de
sécurité, qui ont tous deux des intérêts considérables à défendre :
l'éditeur gagnerait à ce qu'un patch soit disponible au moment même où
la faille est rendue publique, afin de limiter le scandale ; et la
compagnie de sécurité, comme le pirate, préféreraient se faire mousser
avant que quelqu'un d'autre ne le fasse à leur place.
L'avis des principaux intéressés
Prenons un peu d'altitude : que devient le débat lorsque l'on s'éloigne
des intérêts corporatistes ? La réponse des entreprises est claire, et
elle a été recuillie par une étude
<http://www.hurwitz.com/press/pressrelease_fulldisclosure.htm> du
Hurwitz Group : 80 % des 300 professionnels de la sécurité interrogés se
prononcent pour la publicité immédiate des failles - en d'autres termes
pour la solution du goudron et des plumes. Les sondés ont pleinement
conscience des implications de leur choix : ils se prononcent pour que
les failles soient révélées avant même que les éditeurs ne mettent à
leur disposition un patch, instantanément (dans 39 % des cas) ou dans la
semaine (28 %).
Un choix étonnant que celui de ces spécialistes qui doivent protéger au
quotidien leurs systèmes d'information, rendus forcément plus
vulnérables lorsqu'une faille critique les affectant n'a pas été
corrigée. Mais ce choix n'est pas complètement dépourvu de cohérence :
la moitié des sondés qui se déclarent pour la révélation immédiate des
failles le font par dépit, dans le but avoué d'embarrasser les éditeurs.
A leurs yeux, c'est là la seule façon de forcer les fabriquants de
logiciels à réagir, et à corriger leurs failles.
Insatisfaction généralisée
Derrière ce mouvement d'humeur, une réalité bien tangible : le faible
niveau de qualité de certaines applications, que les professionnels de
la sécurité - selon cette étude - ont beaucoup de mal à avaler. Ce
problème les oblige à maintenir une veille constante sur l'étanchéïté de
leurs systèmes d'information : "Les utilisateurs finaux sont clairement
fachés par l'attitude des fabriquants, qui lancent des applications qui
ne sont pas sûres, et qui ne réagissent pas par la suite quand les
failles sont détectées" - révèle l'étude.
Ce désenchantement en dit long sur la confiance des professionnels quant
à la volonté des éditeurs de corriger leurs failles, surtout
lorsqu'elles ne sont pas connues du
grand public. L'opinion des professionnels de la sécurité prouve en tout
cas que les efforts consentis par certains grands éditeurs, Microsoft en
particulier
<http://solutions.journaldunet.com/itws/020517_cyril_voisin.shtml> ,
n'ont pas convaincu. Selon l'étude du Hurwitz Group, certaines
enteprises seraient même décidées à traîner certains éditeurs en justice
... Le chemin est encore long sur la voie du logiciel sans défaut, et
les consommateurs finaux demandent aux éditeurs un effort beaucoup plus
franc.
[Nicolas Six, JDNet]
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
Other related posts:
- » [Helpc] Les entreprises ne supportent plus les failles applicatives
