Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Full disclosure (divulgation intégrale de failles)

Full disclosure : divulgation intégrale de failles de sécurité, incluant techniques d'exploitation et mode d'emploi pour utiliser la faille. Controverses sur l'intérêt/la nécessité du full disclosure.

Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet
Carnets de voyage en terres truquées
Bienvenue sur le Web

Il n'existe pas de programmes informatiques 100% sans erreur.

En matière de sécurité informatique, il existe, en permanence, des découvertes d'erreurs dans le code des programmes. Certaines erreurs ne sont que de simples « bugs » comme, par exemple, un programme de paie qui multipliérait par 100 mon salaire. Mais certaines de ces erreurs peuvent être exploitées pour provoquer un comportement inattendu du programme ou de l'appareil sur lequel il s'exécute. On appelle ces erreurs des failles de sécurité.

La manière dont les découvreurs de failles de sécurité communiquent les résultats de leurs découvertes est sujette à d'interminables polémiques.

  • Certains sites d'alertes, dont des sites gouvernementaux, (l'un des CERTComputer Emergency Response Team » - « Équipe d'intervention d'urgence informatique »], en France, dépend du Premier Ministre), révèlent, à titre préventif, des failles non corrigées, mais sans en donner les caractéristiques techniques ni le mode d'emploi : uniquement l'état de l'art et d'éventuels moyens de contournement en attendant la publication d'un correctif par l'éditeur. Il s'agit d'alerter les responsables de la sécurité des systèmes d'information, par exemple pour suspendre l'usage d'un dispositif faillible, ou le déconnecter de l'Internet, le temps qu'un correctif soit disponible.
  • Malheureusement, une lecture inverse de ces alertes constitue une source d'informations sur le failles de sécurité pour les cybercriminels.

Quant aux sites ou forums des « chevaliers blancs » (les « gentils hackers » ou « white hat » ou « chapeaux blancs ») et des « chevaliers noirs » (les « méchants hackers » ou « black hat » ou « chapeaux noirs »), ils publient le détail des failles et leurs modes d'emploi. C’est le « Full disclosure ». Ils le font :

  • soit dès la découverte de la faille, pour se faire mousser dans le milieu des hackers (« chevaliers noirs ») - c'est un problème d'ego.
  • soit pour faire bouger les choses lorsque, après une à plusieurs alertes auprès de l’auteur/éditeur du code faillible (période plus ou moins longue dite de « sécurité par l'obscurité »), l'alerte est totalement ignorée (« chevaliers blancs » outrés par la désinvolture de l’auteur/éditeur).
Full disclosure - Un exemple de full disclosure