Panorama des politiques de divulgation
Federico Biancuzzi, dans un éditorial du Focus, dresse un panorama des différentes politiques de divulgations. Faut-il tout dire ? Apple, Google, IBM, C.A., Microsoft, Novell, Oracle, Red Hat, SAP... même les grands chercheurs -Lietchfield en tête- sont interviewés. Mais cette collection d'avis tourne rapidement en une bouillie d'opinions à la sauce « consensus mou ». Les éditeurs ne souhaitent pas passer pour des partisans du « Security by obscurity » -la sécurité par l'obscurantisme- tout en affirmant que l'inventeur d'une faille doit être conscient de ses responsabilités. Les chercheurs eux-mêmes évitent de se montrer sous un jour trop agressif car les avocats volent bas ces temps-ci. Le journaliste, pour sa part, ne peut se permettre de prendre parti pour un bord ou pour un autre, de crainte d'être accusé de nihiliste par les uns et de personne incapable de comprendre la subtilité de certaines nuances par les autres. Biancuzzi, journaliste Italien, est notamment passé à côté de l'interview d'un des chasseurs de failles les plus prolifique qui soit... son compatriote Luigi Auriemma, « best 2004 bug hunter »... sans oublier Davide Del Vecchio, autre hacker « blanc » dont l'avis sur le full disclosure est étayé de fort belle manière. Les éditeurs interviewés, pour leur part, ont légèrement omis de préciser certains détails... et notamment celui du « temps raisonnable » durant lequel l'information doit demeurer secrète afin que l'on puisse élaborer une rustine stable. Tant que ce non-dit ne sera pas formellement précisé par une sorte de RFC, tous les abus seront permis, dans un sens ou dans l'autre.
