Par Marc Olanie (Reseaux-Telecoms) - On espérait un RFC, et l’on hérite d’un mémorandum de club de censure. Sous le titre de « Rapport de vulnérabilité et processus de réponse », l’OIS (Organization for Internet Safety) résume sa façon de voir pour tout ce qui concerne les découvertes et divulgations de failles logicielles. L’OIS est un cartel d’éditeurs et de mandarins de la sécurité, parmi lesquels l’on compte Microsoft –le parrain du club-, AtStake, BindView, SCO, Foundstone, Guardent, ISS, NAI, Oracle, SGI et Symantec. La procédure de découverte et de divulgation sous contrôle est excessivement formalisée, presque administrative. L’on note que l’éditeur a, une fois une faille signalée, 7 jours pour répondre et accuser réception à son inventeur. Si aucun courrier n’est parvenu au chasseur de faille durant ce laps de temps, le découvreur a le droit d’expédier une demande de confirmation de réception intégrant les éléments de la première alerte. L’éditeur dispose alors de 3 jours pour accuser réception. Passé ce délai (sic), le « bug hunter » doit attendre 7 jours. Un laps de temps qui lui permettra de se préparer à « déployer des efforts raisonnables pour résoudre ce problème de communication » en cas de non réponse définitive.

Les Exploits, codes sources et autres bombes constituant des « preuves de faisabilité » sont, on l’imagine, strictement interdit de publication, tout comme le sont les détails pouvant donner aux pirates une idée précise des méthodes exploitant le défaut découvert. Toutefois, précise le document, de tels programmes pourraient faire l’objet de publication 30 jours après mise à disposition des correctifs par l’éditeur, et ce dans le cadre « d’institutions académiques qui conduisent des recherches sur les technique de sécurisation des logiciels »… les forums du genre Butrack ou Full Disclosure ne sont pas spécifiquement mentionnés, loin s’en faut.

Certes, il est très facile d’ironiser sur la rédaction d’un tel document. Mais ce quarteron de généraux du logiciel semble avoir évité d’inviter quelques découvreurs de failles « indépendants », britanniques, français, israéliens, russes… des spécialistes de la sécurité dont l’avis, dégagé de tout intérêt financier direct lié à l’édition de logiciels applicatifs ou de programmes de sécurité aurait donné un éclairage probablement différent. Ces indépendant ne sont pourtant pas très difficiles à trouver.et les convier à l’élaboration de ce document eut été là faire preuve d’un certain soucis d’objectivité. Conscient de cette nécessité d’ouverture, l’OIS lance un appel à commentaires et ouvre un alias email () spécialement destiné à la récolte de lettres d’opinions. Reste à espérer que cette consultation ne sera pas une mascarade et que les suggestions envoyées ne finiront pas à la corbeille, sous prétexte que « ce n’est pas la rue qui gouverne ». Cette consultation s’achèvera le 4 juillet, date anniversaire de la déclaration d’indépendance des Etats-Unis. Beau symbole. Le document une fois finalisé, une annonce « officielle » sera faite à l’occasion des Black Hat Briefings de Las Vegas.

C’est par la plus étrange des coïncidences que ce mémorandum sur la divulgation « sous tutelle » parait peu de jours après l’altercation orageuse qui a opposé Sun et SPI Dynamics. Lassés, déclarent les hommes sécurité de SPI, par la superbe indifférence de Sun et la totale absence de réponse de leur part, tous ont décidé de dévoiler une série d’inconsistances concernant les serveurs d’application Sun One. A l’heure où nous rédigeons ces lignes, certaines de ces failles ne sont toujours pas comblées. Le débat est donc loin d’être clôt, et il est très probable que le mémorandum « Microsoft-AtStake » se transforme en une sorte d’accord de bonne intelligence n’engageant que les seuls signataires dudit document. Or, en matière de découverte de faille, ce n’est pas surface financière d’une entreprise qui importe, c’est la méthode utilisée et ne nombre de neurones actifs à un moment précis. Et çà, c’est impossible à acquérir par « croissance externe ».