Services
Les éditeurs laissent souvent les années passer avant de réparer les bogues informatiques qui leur sont rapportés. L'initiative proposée aujourd'hui par TippingPoint vise à obliger les éditeurs à réagir beaucoup plus rapidement.
Le problème semble être plus répandu qu'on pourrait le croire. Le projet Zero Day Initiative (ZDI), créé par TippingPoint (TP) et agissant à titre de médiateur entre les éditeurs et les experts en sécurité, indique qu'environ 122 vulnérabilités critiques ont été rapportées sans qu'elles n'aient été corrigées.
Plus d'une trentaine d'entre elles ont été rapportées il y a plus d'un an, la plus ancienne date de mai 2007 et concerne IBM.
TippingPoint, appartenant à HP, veut maintenant changer la donne en forçant les éditeurs à améliorer leur temps de réaction. Par exemple, TP propose un délai maximal de six mois pour corriger une faille de sécurité.
Après ce délai, ZDI publiera quelques détails précis sur la vulnérabilité pour que les internautes et les entreprises affectés puissent se protéger adéquatement.
Zero Day Initiative s'appliquera de façon rétrospective et englobera par conséquent les failles non corrigées datant d'il y a plusieurs années. De cette façon, TP souhaite que l'ensemble des vulnérabilités connues soient corrigées d'ici le mois de février 2011.
En raccourcissant l'intervalle de temps entre la découverte d'une faille et sa correction, les pirates malintentionnés auront donc moins de temps pour l'exploiter. La sécurité du Web, des internautes et des entreprises sera ainsi optimisée.
Évidemment, certaines failles prennent plus de temps que d'autres pour être corrigées. Un délai pourra être accordé, mais il s'agira d'un cas pas cas.
par Aude Boivin Filion
6 mois? J'aurais cru 6 semaines. Une fois qu'une faille est connue et annoncée, même sans trop de détail, ce n'est pas long que les pirates savent où chercher pour la trouver et ensuite l'exploiter.
