Lisez ou relisez : Citoyens européens, défendons la neutralité du Net !, Réforme des droits d’auteur dans l’Union européenne : une proposition inadaptée et La loi européenne sur le droit d’auteur entrave l’innovation et la créativité sur Internet. Mozilla se bat pour une réforme.

La divulgation encadrée des vulnérabilités

Cela pourrait paraître lointain puisque cela concerne le gouvernement américain, mais, en considérant la taille du marché américain, sa place dans la gestion du réseau, la force de ses industries de logiciels, de contenu et de services sur Internet, sans compter la vente de matériel, et l’influence de la culture américaine, on se gardera bien de négliger cette problématique.

Comme l’explique Chris Riley, le Vulnerabilities Equities Process (VEP) est un processus du gouvernement des États-Unis pour examiner et coordonner la divulgation des failles dont il a connaissance ou qu’il a créées.

Il y a un peu plus de deux ans, le coordinateur de la cybersécurité au sein de la Maison-Blanche, Michael Daniel, a rédigé un billet de blog selon lequel l’administration Obama était par principe en faveur de la divulgation des vulnérabilités et donnait une série de critères qu’il prend personnellement en considération lorsqu’il participe au processus. Mais, la politique par blog interposé n’est pas particulièrement contraignante pour le gouvernement et, comme Daniel lui-même l’admet, « il n’y a pas de règles strictes » pour gouverner le VEP.

Comme on pouvait s’y attendre, l’avenir n’a pas vu d’amélioration dans le traitement des divulgations de vulnérabilité. Chris cite l’exemple du prétendu hack de la NSA par les Shadow Brokers. Il en aurait résulté la diffusion publique de « cyberarmes » de la NSA dont des vulnérabilités connues du gouvernement et qu’apparemment il exploitait depuis des années.

Chris rappelle le principe, qui était le titre d’un récent billet de la directrice des affaires juridiques et commerciales de Mozilla, Denelle Dixon-Thayer, et qui veut que la sécurité soit une responsabilité partagée. Le gouvernement américain pourrait jouer un grand rôle en faisant sa part et en mettant en place « des principes transparents et responsables pour s’assurer qu’il traite les vulnérabilités convenablement et les dévoile aux entreprises touchées. » Ce n’est pas le cas.

Mozilla propose cinq biais pour réformer le VEP et en faire le mécanisme fort qu’il devrait être :

  • Toutes les vulnérabilités de sécurité devraient passer par le VEP et il devrait y avoir des calendriers fixes pour revoir les décisions de retardement de la divulgation.
  • Toutes les agences fédérales concernées et impliquées dans le VEP devraient travailler ensemble à évaluer un ensemble standardisé de critères pour s’assurer que tous les risques et intérêts pertinents ont été pris en considération.
  • Une supervision indépendante et transparente des processus et procédures du VEP doit être instituée.
  • Le secrétariat exécutif du VEP devrait résider au sein du Département de la sécurité intérieur, car ils ont accumulé une expertise significative, des infrastructures et de la confiance à travers les programmes de divulgation coordonnée de vulnérabilités existants (par exemple, l’US-CERT).
  • Le VEP devrait être codifié dans une loi pour être sûr de son respect et de sa permanence.

Pour aller plus loin sur ce sujet, vous pouvez consulter ces deux billets du blog Open Policy & Advocacy de Mozilla :


Si vous voulez revenir à des préoccupations plus européennes, il est toujours temps de soutenir la réforme du droit d’auteur et d’envoyer un selfie de rébellion au Parlement européen.


@Mozinet

Notre précédent article : Le fonds de Mozilla qui sécurise l’open source et le Net