Génèse d'un avis ou exemple de concertation entre un éditeur et les CERT

Date : 28 Juin 2005

Au cours de l'été, le Cert-IST (avec la contribution du CERTA et de l'un de nos Partenaires) est intervenu dans le traitement d'une vulnérabilité, depuis sa découverte, jusqu'à la publication par l'éditeur et les CERT de l'avis de sécurité correspondant. Nous profitons donc de ce bulletin pour vous montrer l'aide qu'un CERT peu apporter face à une telle situation.

Déroulement :

  • Début août : le CERTA a reçu une information indiquant qu'un logiciel présente une faille de sécurité.

  • Le CERTA contacte le Cert-IST car l'éditeur du logiciel fait partie de la "Communauté du Cert-IST" ; chacun des deux CERT a évalué la réalité de la vulnérabilité et ils ont conclu ensemble à la nécessité d'une action auprès de l'éditeur .

  • Les CERTs contactent l'éditeur qui demande un délai pour pouvoir préparer sa réponse ; en même temps, l'éditeur accepte de valider la publication de l'avis préparé par le Cert-IST et demande à ce dernier de valider sa propre publication ; une date de "publication" est finalement arrêtée entre l'éditeur, le CERTA et le Cert-IST.

  • L'information est publiée en concertation par les 3 protagonistes au début septembre

Les impondérables et leur gestion :

L'utilisateur qui avait trouvé la faille avait contacté directement l'éditeur qui n'avait pas réagi. En désespoir de cause, l'utilisateur s'est adressé à un CERT qui a pu convaincre l'éditeur de la nécessité de traiter le problème.

De façon plus anecdotique, la publication a dû être avancée pour cause de "fuite" d'information côté éditeur (publication de l'information dans les News), mais les éléments de coordination mis en place ont permis, jusqu'au bout la publication concertée.

Conclusions

Le rôle "positif" que les CERT peuvent jouer dans un problème tel que celui rencontré a été démontré. De plus, comme affiché dans notre politique de divulgation de failles (www.cert-ist.com/policy_fr.htm), nous nous attachons à œuvrer dans un contexte d'évaluation de faille dans l'intérêt des utilisateurs, en coopérant aussi efficacement que possible à l'élaboration de solutions acceptables par tous les acteurs.

N'hésitez pas à nous contacter si vous rencontrez des situations semblables.

Précedent Précedent Suivant Suivant Imprimer Imprimer