Microsoft : informer précisément les gouvernements sur les failles

Microsoft a un roulement assez simple dans sa communication au sujet des failles de sécurité que l’on trouve dans ses produits. Chaque deuxième mardi de chaque mois, l’éditeur publie une série de correctifs accompagnés des niveaux de dangerosité ainsi que des détails sur l’exploitation des vulnérabilités. Mais la firme a décidé d’aller plus loin avec les instances gouvernementales pour offrir un niveau de détail supplémentaire.

Le programme portait jusqu’à présent le nom de code Omega et consiste donc à prévenir les autorités nationales concernées à propos des failles dans les produits Microsoft. Pourquoi ? Parce que les gouvernements et les structures officielles emploient souvent des produits de la marque. Elles disposent de cellules dédiées à la sécurité qui réclament régulièrement des données complémentaires, ou simplement avant les autres, du fait de la sensibilité des informations traitées.

Le projet aboutit sous la forme du « Defensive Information Sharing Program » (DISP). Il s’agit d’un canal d’informations privilégié entre Microsoft et les instances concernées. Comme l’explique Steve Adegbite, responsable en chef des programmes de sécurité chez Microsoft, les informations seront données après les cycles d’enquêtes et de recherches de solution pour qu’elles soient pertinentes. Les données seront ensuite transmises aux entités membres du DISP un peu avant la publication des correctifs.

Parallèlement, un autre programme, baptisé « Critical Infrastructure Partner Program » (CIPP), va permettre aux partenaires intéressés de bénéficier eux aussi d’informations plus précises sur les politiques de sécurité, y compris les stratégies ou les approches de l’aide fournie, pour mieux cerner les protections autour des infrastructures critiques.

Les deux programmes sont pour l’instant à l’état de pilotes et ne sont donc pas finalisés dans leur fonctionnement. Il n’est pas dit finalement que tous les bénéficiaires aient davantage d’informations que ce qu’ils pouvaient avoir jusqu’à présent. Il s’agirait plutôt de mettre en place un flux automatique et cohérent de distribution, de manière systématique.

Source : Microsoft

Vincent Hermann le 19 mai 2010 à 11:09 (9 702 lectures)

Tweeter

• 14 / 04 / 2010 : Microsoft : bulletins de sécurité d'avril 2010
• 30 / 03 / 2010 : Mise à jour de sécurité exceptionnelle chez Microsoft
• 26 / 03 / 2010 : Plus de 90 % des emails étaient des spams en mars
• 25 / 03 / 2010 : Concours Pwn2Own : tous les navigateurs ont été piratés
• 11 / 03 / 2010 : La récente faille 0-Day d’Internet Explorer déjà exploitée
• 10 / 03 / 2010 : Microsoft : nouvelle faille 0-day pour Internet Explorer 6 et 7
• 10 / 03 / 2010 : Microsoft : les bulletins de sécurité de mars 2010
• 01 / 03 / 2010 : IE : une faille vieille de trois ans exploitée à l'aide de la touche ...

Actu Précédente Actu Suivante