Journal USA failles de sécurité, et logiciels libres.

Posté par (page perso) . Licence CC by-sa
Tags : aucun
12
26
mai
2015

Salut Nal,

Voici un petit article fort intéressant, ajoutant un nouvel intérêt aux logiciels libres : http://www.developpez.com/actu/85679/Les-Etats-Unis-veulent-reglementer-le-commerce-de-failles-logicielles-pour-empecher-la-vente-de-defauts-zero-day-a-l-etranger/ .

En substance, cette article explique que les États-Unis souhaitent mettre en place un système de licence (un peu comme un licence de vente d'alcool) pour la vente de faille 0-day, et le support permettant de les régler, aux pays n'appartenant pas aux Five Eyes (États-Unis, Canada, le Royaume-Uni, la Nouvelle Zélande et l’Australie).
Cependant, cette régularisation commerciale ne concerne pas les logiciels libres et les logiciels de recherches scientifiques. Cela signifie concrètement que l'univers des logiciels libres permettra toujours une collaboration internationnale pour la correction de faille de sécurité. Grâce à cela, à mon sens l'utilisation des logiciels libres sera plus sûr.

Et toi Nal, qu'en penses-tu ?

  • # Déjà vu ...

    Posté par (page perso) . Évalué à 8.

    C'est une bonne idée, comme celle de limiter l'exportation du chiffrement. On bénéficie encore aujourd'hui des bienfaits de ces législations.

    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

  • # Je rigole

    Posté par . Évalué à 3.

    Notre tres cher republique qui de part des elus signent des contrats mirobolant avec des compagnies americaines, qui ouvre l'acces aux services de renseignement (au detriment de nos interets commerciaux) et qui n'est pas dans la liste des pays "amis". Tres tres drole.

    • [^] # Re: Je rigole

      Posté par . Évalué à 1.

      Donc si un américain trouve une faille non connue dans un logiciel propriétaire

      il en parle a la NSA et à l'éditeur et donc le correctif ne peu pas être diffusé

      Cela permettra peut être de repérer les failles non connues plus vite, il suffira de faire la différence entre les correctifs diffusés et non diffusés ?

      • [^] # Re: Je rigole

        Posté par (page perso) . Évalué à 3.

        Bonne idée mais comment tu récupères le correctif non-diffusé?

        • [^] # Re: Je rigole

          Posté par . Évalué à 1.

          Pardon
          Ceux avec licence et ceux sans licences

          (c'est comme les papous … il y a les papous à poux et les papous pas à poux )

  • # Les choses sont loin d'être simple...

    Posté par (page perso) . Évalué à 5.

    Comme toute restriction sur des logiciels, ce n'est pas une bonne nouvelle, surtout si cela est clairement influencé par la communauté du renseignement.

    D'un autre côté, comme le montre l'exemple cité par l'EFF, il y existe des entreprises qui se soucient plus de remplir leur tiroir-caisse que de sécurité informatique et ce n'est pas le genre de comportement qui améliore les choses.

    Je ne vois pas de solution simple ou facile, et encore moins à mettre en pratique… La recherche de failles, leur communication et les correctifs devraient rester libre autant que possible, et un système de récompense (bounty) pourrait être défini. Par contre la vente commerciale de 0-day ne devrait pas avoir lieu (même si je ne suis pas naïf, cela n'empêchera pas un marché noir, y compris avec des acteurs gouvernementaux). Et au-delà de la réglementation se pose la problème de mise en application application (par Interpol, des services de douanes, une simple émission de licence, … ?).

  • # Protectionnisme

    Posté par . Évalué à 10.

    En gros, leur idée c'est pour les chercheur en secu : n'aider pas trop vite les éditeurs étrangers a corriger leur erreurs le temps qu'on les pille.
    et pour les clients américains : achetez que des logiciels américain, ils seront plus sur que ceux des étrangers.
    Je crois que cela s'appelle du protectionnisme sous couverture de lutte contre le terrorisme. à noter que l'on est dans le groupe des nations terroristes .

  • # Et qui délivrera la licence ?

    Posté par . Évalué à 4.

    En tous cas, l'organisme qui délivrera la licence aura certainement connaissance de la faille, et rien n'empêchera ses bonnes relations avec la NSA (dont le volet protection de l'information complète celui d'espionnage) de lui en faire profiter.

    Du coup, toutes les failles vendues à l'étranger seront connues de la NSA. Sans doute plus pour avoir connaissance des capacités des agences étrangères que pour économiser sur le coût de la découvert des failles.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.