Journal gestion de failles de sécurité bazardeuse

le bazar a gagné

La typologie cathédrale/bazar pour décrire deux modes de développement du Logiciel Libre / Open Source a été établie par Eric S. Raymond il y a bientôt 30 ans. Depuis, les grands exemples de cathédrales se sont transformés en bazars et ce modèle a été largement adopté¹ par la plupart des projets de Logiciel Libre. C'est à dire que les modification du code sont publiée en temps plus ou moins réel sans attendre qu'une nouvelle version du logiciel soit disponible. De nos jours, cela se fait souvent via un dépôt git² (voire GitHub³) disponible à la lecture publiquement sur internet.

trois écoles de divulgation

En parallèle de ce développement, au début du XXIème siècle on débattait furieusement de la meilleure manière de divulguer les failles de sécurité. En gros il y a trois écoles : non-divulgation, divulgation complète et divulgation coordonnée.

L'école de la non-divulgation dit qu'il ne faut jamais divulguer les failles publiquement. L'idée est que moins il y a de personnes qui sont au courant, moins il y a de chances que cela pose problème.

L'école de la divulgation complète dit qu'il est désirable de publier les détails de toutes failles publiquement aussitôt que possible. L'idée est que les utilisateurs et administrateurs ne peuvent prendre des décisions utiles concernant leur propre gestion de risque que s'ils sont informés de ces risques.

L'école de la divulgation coordonnée⁴ tente de réconcilier les deux. L'idée est d'informer d'abord les personnes qui sont en mesure de corriger le problème (typiquement les développeurs) et de se mettre d'accord avec eux sur le bon moment pour faire une annonce publique.

En 2026, il existe encore nombre d'organisations et individus prônant chacune de ces trois écoles selon leurs motivations financières, modèles de valeurs ou la propagande à laquelle ils ont été la plus efficacement exposés. Cependant, jusqu'à présent je n'avais encore jamais entendu personne articuler clairement que la divulgation coordonnée est fondamentalement incompatible avec le bazar.

le bazar ne peut pas être coordonné

Une faille est publique dès le moment où le correctif est publié (que ça soit sous forme de binaire, de source ou de diff). L'auteur d'un correctif dans un projet bazardesque peut tenter d'obscurcir la nature du changement⁵ jusqu'à ce qu'une nouvelle version soit disponible (ce qui ne peut arriver qu'après la soumission du changement dans le dépôt). Mais, selon l'importance relative du projet pour les attaquants (et donc les ressources qu'ils ont pour examiner les changements en temps réel), cela ne les trompera pas. Par contre ça fait des changements plus compliqués à comprendre (ce qui me semble aller à l'encontre de la philosophie du bazar) et des utilisateurs/administrateurs qui sont informés plus tard que les attaquants motivés.

Je ne vois donc pas comment réconcilier la divulgation coordonnée avec le bazar. En tout logique, les projets bazardesques devraient soit utiliser un modèle de divulgation complet soit utiliser un modèle cathédralesque pour leurs correctifs de sécurité. Ce modèle cathédralesque ne peut pas se limiter à une liste de diffusion privée et des messages de soumission obscurcis. Il faudrait une vraie branche privée dont la publication est retardée jusqu'à ce que l'avis de sécurité soit publié. À ma connaissance, aucun projet bazardesque ne fait cela.