Une cinquantaine d'experts en cybersécurité (dont Vint Cerf, Ron Deibert du Citizen Lab, Stéphane Duguin du CyberPeace Institute, Eva Galperin de l'EFF, Ciaran Liam Martin qui avait fondé le NCSC, Jeff MOss, Katie Moussouris, Marietje Schaake et Rayna Stamboliyska) viennent de signer une lettre ouverte invitant Thierry Breton et les instances européennes à « reconsidérer les exigences de divulgation des vulnérabilités dans le cadre de la proposition de loi européenne sur la cyber-résilience (CRA) », relève Euractiv.
La Commission européenne a en effet proposé d’introduire des exigences européennes en matière de cybersécurité, telles que des correctifs de sécurité obligatoires et le traitement des failles pour les appareils connectés qui peuvent collecter et partager des données.
Cependant, de telles divulgations « compromettraient la sécurité des produits numériques et des personnes qui les utilisent », affirment les experts dans la lettre ouverte.
« Dans l’ensemble, il s’agit d’un bon texte législatif visant à améliorer la cybersécurité européenne. Mais parfois, les bonnes intentions font de mauvaises lois, et la disposition exigeant la divulgation des failles en est un exemple », a confié à Euractiv Ciaran Martin, professeur et ancien directeur du Centre national de cybersécurité du Royaume-Uni et signataire de la lettre.
« Dans leur empressement à élaborer une politique de cybersécurité, les dirigeants de l’UE ont fondamentalement mal compris le flux d’informations essentiel à la correction des failles. Les gouvernements ne sont pas les mieux placés pour créer eux-mêmes des correctifs pour les failles, et ne devraient donc pas interférer en forçant les organisations à les informer des failles avant que les vendeurs concernés ne puissent créer et tester les correctifs », a indiqué Katie Moussouris, PDG et fondatrice de Luta Security, à Euractiv.
Selon les signataires de la lettre, d’autres risques existent, notamment l’utilisation abusive des bases de données par les États à des fins de surveillance et le fait que les chercheurs soient dissuadés de signaler les failles. « Si la loi est adoptée, elle aura un effet paralysant et contre-productif sur la recherche vitale en matière de cybersécurité et sur les failles technologiques », a ajouté Ciaran Martin.
« Nous recommandons que le CRA adopte une approche basée sur le risque pour la divulgation des failles, en prenant en compte des facteurs tels que la gravité de la faille, la disponibilité de mesures d’atténuation, l’impact potentiel sur les utilisateurs et la probabilité d’une exploitation plus large », peut-on lire dans la lettre ouverte.
Commentaires (8)
#1
Moi je trouve que la situation actuelle est pas mal : Diffusion après X jours (90 je crois) sauf si une interaction avec l’éditeur justifie une prolongation , parce que le correctif a un impact important ou bien pour des raisons de diffusion.
Publier immédiatement c’est un risque mais ne pas du tout publier c’est aussi inciter les éditeurs non seulement à s’en foutre mais aussi à faire du code encore plus merdique à l’avenir…
#1.1
Si j’ai bien compris, l’exigence n’est pas de divulguer publiquement toutes les failles dès qu’on les trouve, mais plutôt de les signaler immédiatement aux instances publiques (par exemple l’ANSSI en France).
C’est la DGSI et la DGSE qui doivent être contente d’un tel texte
#2
Ah oui , c’est retord….
Merci de m’avoir décodé ca !
#3
Thierry Breton toujours dans les bons coups.
#4
malgré tout mon respect pour vinton cerf, je pense exactement le contraire!
quand je lis:
Cependant, de telles divulgations « compromettraient la sécurité des produits numériques et des personnes qui les utilisent », affirment les experts dans la lettre ouverte.
pour moi, c’est exactement le contraire!
Qu’est ce qui oblige une entreprise qui a des vulnérabilités dans ses produits à les corriger, si ce n’est la divulgation de ce mêmes failles??
Dans le cas de non divulgation, pourquoi je corrigerai??
#5
Que la divulgation soit faite au public… et pas seulement aux autorités.
#6
… aux publics impactés, en premier lieu les utilisateurs, et dans un langage accessible, et en fournissant une information aussi détaillée que raisonnablement possible sur la ou les alternatives existantes et disponibles qui ne seraient pas impactées.
:popcorn:
#7
Point de vie intéressant…qui n’est valable qu’avec un pouvoir de coercition pour que les exiteurs concernés patchent.
On peut imaginer un juste milieu : obfuscation dans un premier temps, et si pas de reponse et d’action concrète apres un certain temps defini, alors divulgation assortie d’unname and shame vraiment gratiné.
Et si toujours pas d’action, alors repression