Catégories
Réflexion Technologie

morale et légale

Petite extrait de conversation entre Tristan Nitot et Maitre Eolas sur twitter à propos de la révélation de faille de sécurité. Noté bien que l’avocat montre ce qui est légale tandis que l’informaticien pousse à l’excellence informatique et à la collaboration.

« [Spyworld Actu] La révélation publique de failles de sécurité est un délit » ( http://bit.ly/5oijwz )

Eolas : …seulement si la faille est encore exploitable. C’est très important.

Nitot : mais très con aussi. Trop fréquemment, les éditeurs ne bouchent les failles que s’ils ont la pression.

Eolas : ça ne justifie pas qu’on les publie pour leur mettre la pression.

Nitot : je suis pour la reasonable disclosure: prevenir l’éditeur et lui donner un délai raisonnable pour corriger la faille.

Eolas : Si je vous dis que votre porte de derrière ferme mal, le fait que vous ne la répariez pas me permet-il de le signaler aux voleurs ?

Nitot : si ma serrure est pourrie, il faut le dire au constructeur pour qu’il m’en offre une gratuite pour que je soit en sécurité

Eolas : oui, on est d’accord. Pas publier comment les crocheter.

Nitot : pas publier, mais menacer de le faire au bout d’un moment. Sinon rien ne bouge. Puis publier une fois les serrures changées

Eolas : Si je vous dis que votre porte de derrière ferme mal, le fait que vous ne la répariez pas me permet-il de le signaler aux voleurs ?

yannick1974 : C’est plutôt « toutes les portes de votre hôtel ne ferment pas, si vous ne réparez pas, je le dis à vos clients ».

Eolas : Non, c’est la PUBLICATION de l’info (=accessible à tous, voleurs compris) qui est sanctionnée ici.

Eolas : Menacer de le faire constitue le délit de chantage. Et le faire constitue le délit de révélation de faille.


Par Nathanaël Martel

Développeur Web, défenseur de la culture libre et du revenu de base