Article non reproductible, réalisé initialement pour 01net.comIls sont tous là : Microsoft, Sun, Cisco ou encore IBM, sans compter bon nombre de spécialistes de la sécurité. Ils forment l’Organization for Internet Security (OSI), et se proposent de dicter un code de bonne conduite aux spécialistes de la sécurité lorsque ceux-ci découvrent une faille dans un produit. Au coeur du débat, une question vieille comme le monde (informatique) : faut-il dévoiler les défauts des programmes dès leur découverte, ou attendre que l’éditeur ait écrit un correctif ?Le bon sens veut, bien sûr, que l’éditeur soit contacté en premier, qu’il réagisse rapidement et que la faille soit annoncée peu après, avec un correctif.Mais plusieurs exemples l’an dernier ont montrés que, parfois, l’éditeur ne joue pas le jeu. Ainsi, Microsoft a-t-il parfois pour habitude de nier une faille, jusqu’à ce que son inventeur publie une démonstration pratique. Cela est arrivé à plusieurs reprises l’an dernier, et a poussé l’éditeur à rallier quelques confrères à ses côtés afin de restreindre la diffusion des failles de sécurité. Le tollé provoqué par cette tentative semble aujourd’hui avoir porté ses fruits, puisque la proposition présentée à l’Internet Engineering Taskforce semble équilibrée et prévoit des devoirs et des obligations réalistes pour chacune des parties. Selon ses termes, les éditeurs devraient créer une adresse email standard (secalert) pour centraliser les messages, et acquitter leur réception sous dix jours. Ils auraient ensuite un mois pour régler le problème, que ce soit grâce à un correctif, un changement dans la configuration par défaut du produit, etc. Après ce délai, le spécialiste peut publier sa découverte en détail s’il le souhaite, ou offrir éventuellement un délai supplémentaire. Il doit cependant assister l’éditeur dans la résolution de la faille et respecter les délais promis.Ce document ne présente en revanche aucun caractère impératif, et ne fait qu’établir un cadre préférable. Aujourd’hui ouvert à la consultation publique, il deviendra éventuellement un standard d’Internet selon la norme de l’IETF.Plus d’info : Le texte de la proposition.