Divulgation responsable

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

La divulgation responsable est un terme de sécurité informatique décrivant un modèle de divulgation de vulnérabilité informatique.

La divulgation responsable est semblable à une divulgation complète, avec l'ajout que toutes les parties prenantes acceptent de laisser un délai avant la divulgation pour que la vulnérabilité soit corrigée avant sa divulgation.

Les développeurs de matériel informatique et de logiciels ont souvent besoin de temps et de ressources pour réparer des erreurs découvertes dans leurs produits. Par contre, les hackers grey hat et les spécialistes de la sécurité informatique considèrent qu'il est de leur responsabilité sociale de sensibiliser le public aux vulnérabilités ayant un fort impact, car cacher ces problèmes engendre un sentiment de fausse sécurité. Pour satisfaire les deux parties prenantes, les développeurs et les découvreurs de vulnérabilité échangent des informations et s'entendent sur une période de temps pour réparer la vulnérabilité et prévenir tout dommage futur. Selon l'impact potentiel de la vulnérabilité, le temps prévu pour une solution d'urgence ou une solution de contournement peut varier entre quelques jours et plusieurs mois.

Rémunération pour la découverte de vulnérabilités[modifier | modifier le code]

La divulgation responsable ne permet pas de satisfaire les chercheurs en sécurité qui s'attendent à être compensés financièrement pour la découverte d'une vulnérabilité, car l'attente d'une compensation lors du signalement d'une vulnérabilité à un fournisseur peut être considérée comme une extorsion. Alors qu'un marché des vulnérabilités s'est développé, la commercialisation des vulnérabilités reste un sujet très sensible et controversé.

Aujourd'hui, les deux principaux acteurs du marché commercial de la vulnérabilité sont iDefense, qui a lancé son programme de Contributeur de vulnérabilité (plus connu sous le nom anglais de Vulnerability contributor program ou VCP) en 2003, et TippingPoint (en), avec son Initiative vulnérabilité Zero day (plus connu sous le nom anglais de Zero-day initiative ou ZDI), commencé en 2005. Ces organisations suivent le processus de divulgation responsable avec les vulnérabilités qu'ils achètent. Entre mars 2003 et décembre 2007, 7,5% des vulnérabilités affectant Microsoft et Apple ont été traitées par les programmes VCP ou ZDI[1].

Facebook, Google, Mozilla et Barracuda Networks sont d'autres entreprises qui récompensent financièrement la divulgation responsable en payant des primes pour les vulnérabilités rapportées[2].

Exemples de divulgation responsable[modifier | modifier le code]

Voici quelques vulnérabilités de sécurité auxquelles le principe de divulgation responsable a été appliquée et le temps négocié avant la divulgation :

Notes et références[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Responsible disclosure » (voir la liste des auteurs).