Catégories
Réflexion Technologie

morale et légale

Petite extrait de conversation entre Tristan Nitot et Maitre Eolas sur twitter à propos de la révélation de faille de sécurité. Noté bien que l’avocat montre ce qui est légale tandis que l’informaticien pousse à l’excellence informatique et à la collaboration.

« [Spyworld Actu] La révélation publique de failles de sécurité est un délit » ( http://bit.ly/5oijwz )

Eolas : …seulement si la faille est encore exploitable. C’est très important.

Nitot : mais très con aussi. Trop fréquemment, les éditeurs ne bouchent les failles que s’ils ont la pression.

Eolas : ça ne justifie pas qu’on les publie pour leur mettre la pression.

Nitot : je suis pour la reasonable disclosure: prevenir l’éditeur et lui donner un délai raisonnable pour corriger la faille.

Eolas : Si je vous dis que votre porte de derrière ferme mal, le fait que vous ne la répariez pas me permet-il de le signaler aux voleurs ?

Nitot : si ma serrure est pourrie, il faut le dire au constructeur pour qu’il m’en offre une gratuite pour que je soit en sécurité

Eolas : oui, on est d’accord. Pas publier comment les crocheter.

Nitot : pas publier, mais menacer de le faire au bout d’un moment. Sinon rien ne bouge. Puis publier une fois les serrures changées

Eolas : Si je vous dis que votre porte de derrière ferme mal, le fait que vous ne la répariez pas me permet-il de le signaler aux voleurs ?

yannick1974 : C’est plutôt « toutes les portes de votre hôtel ne ferment pas, si vous ne réparez pas, je le dis à vos clients ».

Eolas : Non, c’est la PUBLICATION de l’info (=accessible à tous, voleurs compris) qui est sanctionnée ici.

Eolas : Menacer de le faire constitue le délit de chantage. Et le faire constitue le délit de révélation de faille.