Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Les failles de sécurité doivent-elles rendues publiques ?

Par Sylvaine Luckx le 05/10/2010

La semaine dernière, un faux procès de hacker a eu lieu pour expliquer la tentative de piratage d’un appareil respiratoire d’hôpital.

Il existe une règle non écrite dans le milieu des hackers, et qui s’appelle le « full disclosure ». C’est un principe qui prévoit une divulgation publique d’un problème de sécurité connu. Mais le « full disclosure » n’est pas du goût de tout le monde, et notamment des éditeurs de logiciel qui n’aiment pas voir leurs failles exposées sur la place publique. Ils préfèrent les corriger eux-mêmes avec des patchs qui mettent plus ou moins de temps à arriver pour combler les failles.

Dans le cas qui nous occupe, que rapporte Clubic, une faille a été découverte dans un logiciel contenu dans un respirateur officiel d’un hôpital. « Le hacker transmet des informations, mais, estimant qu’aucune réponse n’est apportée, il communique alors les détails de la faille sur Twitter. La presse n’est pas longue à reprendre l’information ».

L’hôpital entre alors en scène et estime subir des dommages du fait de la publication de cette faille.
Devant un cas pareil, le tribunal est bien en peine. Il se pose la question de savoir s’il y a eu intrusion ou non dans un système d’information. Or, il n’y a pas eu de modification de l’état du système.

« De même », cite Clubic, « le Tribunal de Grande Instance a déjà estimé qu’une découverte de faille via un simple navigateur, comme c’est le cas ici, ne constitue pas une intrusion.

Après de longs débats, le jury populaire a fait le choix de relaxer le prévenu, en répondant à trois questions : il y a-t-il eu intrusion dans un système informatique ? Le juré a estimé que non au motif que la faille était connue. L’assemblée estime aussi qu’il n’avait pas un motif légitime pour dévoiler la vulnérabilité. Mais le jury lui accorde « la nécessité d’agir », car la faille concernant des appareils de santé.

Ce faux procès a néanmoins mis en lumière la difficulté de la notification des failles de sécurité, et du rôle des hackers dans ces affaires. Les hackers revendiquent leur liberté, et notamment celle de prévenir la communauté. Travailler main dans la main avec les éditeurs pour diffuser les failles ne rentre peut-être pas dans leur culture, mais l’alternative est intéressante et mérite d’être étudiée.

Source : mag-securs.com