Faut-il révéler au grand jour les failles de sécurité informatique ? La question intéresse même des universitaires. Points positifs et points négatifs, les internautes donnent leur avis.
Tami Goens a eu une drôle d’idée. Pour son mémoire de fin de premier cycle à l’Ohio State University, elle a décidé d’interroger les internautes concernés par le concept de Full Disclosure. Comprenez l’idée selon laquelle, en matière de sécurité informatique, il vaut diffuser largement toute information concernant un bug. Cette philosophie a beaucoup apporté à la communauté, mais, selon Tami, elle contient intrinsèquement des points négatifs. Alors, publier ou ne pas publier les failles ? Tami a posté une invitation à répondre à son étude en ligne via trois canaux : Infraguard, le mécanisme d’alerte du secteur privé mis en place par le FBI ; l’Information Systems Security Association ; et la liste de discussions BugTraq. Résultat : Tami a reçu 78 réponses via Infraguard, 61 via l’ISSA et 1 266 de la part des abonnés à BugTraq. Même si le nombre de réponses est faible, cela permet de réaliser une photographie intéressante de la population des internautes qui se disent impliqués dans le domaine de la sécurité.
Pour une éthique du hacker
L’étude posait des questions amusantes qui rejoignent finalement les préoccupations de Antisecurity : "Sur une échelle de 1 à 10, pensez-vous que la publication des bugs va générer plus de failles de sécurité ?" ou "La diffusion de code permettant d’exploiter des vulnérabilité est-elle nécessaire ?" Les abonnés à BugTraq estiment massivement que le Full Disclosure n’augmente pas les risques, tandis que la proportion est plus faible parmi ceux provenant de Infraguard. Mais tous se retrouvent à peu près sur le danger de ne pas dévoiler les trous de sécurité. Par ailleurs, seuls 57 % des abonnés à Bugtraq estiment qu’il est nécessaire de diffuser le moyen d’exploiter les vulnérabilités. Une proportion qui tombe à 45 % dans les réponses venues de l’ISSA et à 46 % pour celles d’Infraguard.
En revanche, une large majorité juge normal de prévenir un éditeur lorsqu’un responsable sécurité découvre une faille. Et beaucoup appellent à la mise en place d’un code de conduite éthique pour la communauté. Car les gentils hackers qui postent dans Bugtraq ne sont pas forcément tous de doux agneaux blancs. Et s’ils contribuent au mouvement de Full Disclosure, c’est parfois après avoir profité de leurs trouvailles pendant des mois, dans la plus parfaite obscurité, jouant ainsi sur les deux tableaux...