BlueKrypt

La divulgation récente d'une faille de sécurité a agacé Microsoft. En effet, le chercheur ayant découvert la brèche n'aurait pas laissé suffisamment de temps au géant américain pour déployer un correctif. Or, la réaction emportée de la firme de Redmond n'a manifestement pas plu à d'autres spécialistes, qui ont décidé de monter un groupe qui divulguera systématiquement toutes les brèches repérées.

Faut-il divulguer les failles de sécurité informatique repérées par les chercheurs en informatique ? À cette question, il y a bien évidemment les partisans d'une divulgation rapide et publique, afin que la faille et le correctif puissent servir à l'ensemble de la communauté, afin de ne pas répéter les mêmes erreurs.

Par ailleurs, l'autre avantage du Full Disclosure est justement de pousser l'entreprise ou le particulier à corriger le problème. En effet, sans cette divulgation publique, il est certain que de nombreuses failles resteraient accessibles. Une philosophie qui est donc nettement à l'opposée de la "sécurité par l'obscurité", qui mise plutôt sur un flou perpétuel pour se protéger.

Cependant, le Full Disclosure reste un sujet particulièrement sensible, surtout lorsqu'elle concerne une société très importante du monde informatique. C'est typiquement le cas de Microsoft, puisque ses systèmes d'exploitation et ses logiciels équipent une très grande majorité des ordinateurs de la planète. Dès lors, toute divulgation publique d'une faille non résolue peut rapidement devenir une véritable menace pour de nombreux utilisateurs à travers le monde.

Alors, lorsqu'un spécialiste en sécurité informatique chez Google, Tavis Ormandy, a divulgué une faille de sécurité touchant le service "Aide et Support" des systèmes d'exploitation Windows XP et Windows Server 2003, la réaction du géant de Redmond a été particulièrement négative. Selon Mike Reavey, directeur du Microsoft Security Response Center (MSRC), l'informaticien n'a pas accordé suffisamment de temps à Microsoft pour résoudre le problème.

"Le problème nous a été remonté le 5 juin 2010 par un chercheur en sécurité de Google, et ensuite il a été rendu public moins de quatre jours plus tard, le 9 juin 2010. La divulgation publique des détails de cette vulnérabilité et comment l'exploiter, sans nous donner le temps de résoudre le problème affectant potentiellement nos clients, rend plus probable des attaques contre des clients à risque" a-t-il déclaré.