Cyber-résilience : une lettre ouverte s’inquiète de l’obligation de divulgation des vulnérabilités
Le 05 octobre 2023 à 05h07
3 min
Droit
Droit
Une cinquantaine d'experts en cybersécurité (dont Vint Cerf, Ron Deibert du Citizen Lab, Stéphane Duguin du CyberPeace Institute, Eva Galperin de l'EFF, Ciaran Liam Martin qui avait fondé le NCSC, Jeff MOss, Katie Moussouris, Marietje Schaake et Rayna Stamboliyska) viennent de signer une lettre ouverte invitant Thierry Breton et les instances européennes à « reconsidérer les exigences de divulgation des vulnérabilités dans le cadre de la proposition de loi européenne sur la cyber-résilience (CRA) », relève Euractiv.
La Commission européenne a en effet proposé d’introduire des exigences européennes en matière de cybersécurité, telles que des correctifs de sécurité obligatoires et le traitement des failles pour les appareils connectés qui peuvent collecter et partager des données.
Cependant, de telles divulgations « compromettraient la sécurité des produits numériques et des personnes qui les utilisent », affirment les experts dans la lettre ouverte.
« Dans l’ensemble, il s’agit d’un bon texte législatif visant à améliorer la cybersécurité européenne. Mais parfois, les bonnes intentions font de mauvaises lois, et la disposition exigeant la divulgation des failles en est un exemple », a confié à Euractiv Ciaran Martin, professeur et ancien directeur du Centre national de cybersécurité du Royaume-Uni et signataire de la lettre.
« Dans leur empressement à élaborer une politique de cybersécurité, les dirigeants de l’UE ont fondamentalement mal compris le flux d’informations essentiel à la correction des failles. Les gouvernements ne sont pas les mieux placés pour créer eux-mêmes des correctifs pour les failles, et ne devraient donc pas interférer en forçant les organisations à les informer des failles avant que les vendeurs concernés ne puissent créer et tester les correctifs », a indiqué Katie Moussouris, PDG et fondatrice de Luta Security, à Euractiv.
Selon les signataires de la lettre, d’autres risques existent, notamment l’utilisation abusive des bases de données par les États à des fins de surveillance et le fait que les chercheurs soient dissuadés de signaler les failles. « Si la loi est adoptée, elle aura un effet paralysant et contre-productif sur la recherche vitale en matière de cybersécurité et sur les failles technologiques », a ajouté Ciaran Martin.
« Nous recommandons que le CRA adopte une approche basée sur le risque pour la divulgation des failles, en prenant en compte des facteurs tels que la gravité de la faille, la disponibilité de mesures d’atténuation, l’impact potentiel sur les utilisateurs et la probabilité d’une exploitation plus large », peut-on lire dans la lettre ouverte.
Le 05 octobre 2023 à 05h07
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/10/2023 à 07h57
Moi je trouve que la situation actuelle est pas mal : Diffusion après X jours (90 je crois) sauf si une interaction avec l’éditeur justifie une prolongation , parce que le correctif a un impact important ou bien pour des raisons de diffusion.
Publier immédiatement c’est un risque mais ne pas du tout publier c’est aussi inciter les éditeurs non seulement à s’en foutre mais aussi à faire du code encore plus merdique à l’avenir…
Le 05/10/2023 à 08h16
Si j’ai bien compris, l’exigence n’est pas de divulguer publiquement toutes les failles dès qu’on les trouve, mais plutôt de les signaler immédiatement aux instances publiques (par exemple l’ANSSI en France).
C’est la DGSI et la DGSE qui doivent être contente d’un tel texte
Le 05/10/2023 à 08h33
Ah oui , c’est retord….
Merci de m’avoir décodé ca !
Le 05/10/2023 à 10h20
Thierry Breton toujours dans les bons coups.
Le 05/10/2023 à 11h26
malgré tout mon respect pour vinton cerf, je pense exactement le contraire!
quand je lis:
Cependant, de telles divulgations « compromettraient la sécurité des produits numériques et des personnes qui les utilisent », affirment les experts dans la lettre ouverte.
pour moi, c’est exactement le contraire!
Qu’est ce qui oblige une entreprise qui a des vulnérabilités dans ses produits à les corriger, si ce n’est la divulgation de ce mêmes failles??
Dans le cas de non divulgation, pourquoi je corrigerai??
Le 05/10/2023 à 14h13
Que la divulgation soit faite au public… et pas seulement aux autorités.
Le 05/10/2023 à 15h54
… aux publics impactés, en premier lieu les utilisateurs, et dans un langage accessible, et en fournissant une information aussi détaillée que raisonnablement possible sur la ou les alternatives existantes et disponibles qui ne seraient pas impactées.
:popcorn:
Le 05/10/2023 à 18h32
Point de vie intéressant…qui n’est valable qu’avec un pouvoir de coercition pour que les exiteurs concernés patchent.
On peut imaginer un juste milieu : obfuscation dans un premier temps, et si pas de reponse et d’action concrète apres un certain temps defini, alors divulgation assortie d’unname and shame vraiment gratiné.
Et si toujours pas d’action, alors repression