L’Organization for Internet Safety (OSI) est une coalition d’éditeurs de logiciels qui souhaitent réglementer la manière dont les failles de sécurité sont divulguées au public. L’idée vient de Microsoft, souvent mis à mal par la divulgation de failles découvertes au sein de ses produits, et elle est reprise par de nombreux grands éditeurs, dont Sun, Cisco ou encore IBM (voir notre brève du 27 février dernier).L’OSI a réalisé pour cela une proposition, qu’elle a présenté le mois dernier à l’IETF, l’un des quelques organismes officiels qui décident des standards sur Internet. Le but était alors de faire accepter par la majorité l’idée qu’une faille de sécurité ne doit pas être publiée librement, mais doit plutôt suivre un processus dans lequel l’éditeur concerné peut créer le correctif nécessaire avant qu’elle ne soit rendue publique. Hélas, les éditeurs ne jouant pas toujours le jeu, cette proposition a été plutôt reçue comme velléité de censure.Aujourd’hui, l’IETF a annoncé sa décision de ne pas la pousser plus avant. Ce ne sera donc pas un standard, même si l’OSI ne désarme pas et annonce son intention de présenter sa proposition à d’autres organismes officiels, dans l’espoir d’en faire, cette fois-ci, une pratique reconnue.