Google veut réinventer les règles de divulgation des failles

Après avoir été impliqué indirectement dans l'affaire Ormandy (et le débat qui déchaine encore les passions sur l'éthique de la divulgation des failles), Google vient de publier à une sorte de guide de bonne conduite destiné à ses chercheurs en sécurité.Moutain View invite également le reste de la communauté IT à s'y conformer.Le groupe des chercheurs de Google qui ont publié cet ensemble de recommandations sur le blog de l'entreprise estiment que la « divulgation responsable » semble être la plus saine mais est souvent à l'origine de laxisme de la part de de certains éditeurs.L'approche inverse, « rendre tout public », serait quant à elle, et malgré son irresponsabilité apparente, la meilleure façon d'améliorer la sécurité puisqu'elle met la pression sur les entreprises dont les produits sont touchés par les failles. Mais elle peut également être dangereuse en donnant des méthodes quasiment clef en main aux pirates.Google plaide donc pour un juste milieu. Cette nouvelle politique de divulgation des failles a pour but d'inciter les entreprises, qui comptent trop souvent sur la divulgation responsable, à être vertueux par eux-même en corrigeant les vulnérabilités dans des délais raisonnables.Cette méthode prônée par Google propose de fixer une date limite de divulgation à toute vulnérabilité que les chercheurs rapportent aux éditeurs. La durée avant divulgation doit être proportionnelle à la gravité de la faille. La date limite peut être plus courte s'il existe des preuves que des pirates sont déjà à l'oeuvre.Tout refus de correction (ou le dépassement de la date limite) entrainerait automatiquement la publication de la vulnérabilité.Si l'idée est bonne, elle place aussi Google dans la position du Chevalier Blanc de la sécurité informatique. Et elle légitime également les décisions de son ingénieur, Travis Ormandy, en visant, sans le dire ouvertement, Microsoft.Reste à savoir si le groupe de hackers anonymes qui a décidé de s'attaquer aux produits de Redmond pour venger les « diffamations » et le « mépris » envers les experts en sécurité affiché par Microsoft respecteront, eux aussi, cette charte de bonne conduite.Source : Blog de Google Online Security