La divulgation des failles de sécurité reste libre Jerome Saiz le 19 mars 2002 à 19h20, dans la rubrique Menaces Commentaires fermés sur La divulgation des failles de sécurité reste libre divulgationfailleslibrerestesécurité L’IETF vient d’abandonner la proposition du groupe d’éditeurs qui souhaitaient formaliser la divulgation des failles de sécurité. Eux ne baissent pas les bras, en revanche, et veulent la rendre officielle auprès d’autres instances. L’Organization for Internet Safety (OSI) est une coalition d’éditeurs de logiciels qui souhaitent réglementer la manière dont les failles de sécurité sont divulguées au public. L’idée vient de Microsoft, souvent mis à mal par la divulgation de failles découvertes au sein de ses produits, et elle est reprise par de nombreux grands éditeurs, dont Sun, Cisco ou encore IBM (voir notre brève du 27 février dernier).L’OSI a réalisé pour cela une proposition, qu’elle a présenté le mois dernier à l’IETF, l’un des quelques organismes officiels qui décident des standards sur Internet. Le but était alors de faire accepter par la majorité l’idée qu’une faille de sécurité ne doit pas être publiée librement, mais doit plutôt suivre un processus dans lequel l’éditeur concerné peut créer le correctif nécessaire avant qu’elle ne soit rendue publique. Hélas, les éditeurs ne jouant pas toujours le jeu, cette proposition a été plutôt reçue comme velléité de censure.Aujourd’hui, l’IETF a annoncé sa décision de ne pas la pousser plus avant. Ce ne sera donc pas un standard, même si l’OSI ne désarme pas et annonce son intention de présenter sa proposition à d’autres organismes officiels, dans l’espoir d’en faire, cette fois-ci, une pratique reconnue. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!