au sommaire
Ce problème semble être désormais au coeur des préoc-cupations de MicrosoftMicrosoft, qui vient d'annoncer la constitution, avec plusieurs entreprises spécialistes de la sécurité informatique, de l'Organization for Internet Safety (OIS). Ce groupe vise à établir au sein de l'industrie un code de conduite lié à la communication des failles identifiées dans les programmes.
Le sujet oppose traditionnellement les experts en sécurité, soucieux de rendre publique au plus vite la vulnérabilité d'un programme, et les éditeurs de logiciels, qui souhaiteraient disposer de plus de temps pour trouver une solution lorsqu'une faille est découverte. Une initiative similaire, détaillée dans un " Request for Comment ", a été présentée à " RSARSA 2002 " par deux chercheurs - dont l'un travaille chez @Stake, également partie prenante dans la OIS.
Ce projet recommande notamment de signaler les failles à l'éditeur concerné ou, à défaut, à un tiers de confiance comme le Computer Emergency Response Team (CERTCERT). En contrepartie, l'éditeur doit tenir les experts en sécurité informés de la façon dont le problème est réglé.