Faille de sécurité : l’OIS préconise « la diffusion responsable »

Par 10 juin 2003

A qui profite l’info ? Aux hackers, surtout lorsqu’une faille de sécurité est révélée avant que l’on connaisse la parade. L’Organization for Internet Safety (OIS), un collectif d’éditeurs composé ...

A qui profite l’info ? Aux hackers, surtout lorsqu’une faille de sécurité est révélée avant que l’on connaisse la parade. L’Organization for Internet Safety (OIS), un collectif d’éditeurs composé de Microsoft, d’Oracle, de SCO, et de plusieurs acteurs du marché de la sécurité (Network Associates, Internet Security Systems, Symantec…), propose de pallier ce fléau avec une règle simple : la découverte d’une faille dans un logiciel devrait d’abord être transmise à l’éditeur par son découvreur. L’éditeur de la solution devrait alors en accuser réception sous 7 jours, puis s’entendre avec le découvreur pour proposer une parade à la faille technique sous « 30 jours au maximun ». Enfin, il est demandé au découvreur de garder secret « la parade » pendant 30 jours, le temps que l’éditeur puisse avertir et donner la solution sécurisée à ses clients. Pour convaincre la communauté des développeurs et des experts en sécurité, l’OIS précise que cette proposition repose sur le principe de « diffusion responsable », qui devrait permettre d’améliorer collectivement la qualité des logiciels du marché, à la manière dont Linux a été créé. L’OIS propose sur son site de télécharger gratuitement le texte de sa proposition et de donner son avis sur la question d’ici 30 jours. Une conférence de presse donnera suite à ses commentaires du 28 au 31 juillet prochain, à Las Vegas. Pour plus d’informations sur l’OIS : www.oisafety.org (Atelier groupe BNP Paribas – 10//06/2003)

Mentions légales © L’Atelier BNP Paribas