HP, IBM et Microsoft trop lents à corriger les failles Zero-Day

L'initiative Zero Day promue par Tipping Point a dressé son bilan 2011 et a publié 21 failles Zero Day qui n'ont pas été corrigées dans les 6 mois après leur découverte. Le rapport pointe du doigt la lenteur de certains acteurs comme HP, IBM et Microsoft à corriger leur produit.

Selon le programme Zero-Day Initiative (ZDI) mis en place par HP TippingPoint, IBM, Hewlett-Packard (HP) et Microsoft figurent en tête de la liste des entreprises qui n'ont pas pris la peine de corriger les vulnérabilités présentes dans leurs produits et notifiées il y a six mois par le plus grand collecteur et chasseur de bugs au niveau mondial. En 2011, TippingPoint - une division de HP - avait publié 29 avis « zero-day » fournissant des informations sur les vulnérabilités signalées aux fournisseurs de logiciels concernés et laissées en souffrance six mois et plus. 10 des 29 bugs signalés concernaient des produits IBM, 6 des logiciels de HP et 5 des produits de Microsoft. D'autres entreprises comme CA, Cisco et EMC figurent aussi sur cette liste des éditeurs retardataires.

TippingPoint, peut être plus connu comme sponsor du concours annuel de piratage Pwn2Own, achète les vulnérabilités découvertes par des chercheurs indépendants spécialisés dans la sécurité, qu'il rétrocède ensuite aux éditeurs et les utilise aussi pour élaborer des parades pour ses propres dispositifs de sécurité. Depuis mi-2010, TippingPoint a décidé que, si un vendeur ne corrigeait pas la vulnérabilité signalée dans les six mois suivant sa notification, il la rendrait publique sous forme d'avis comportant « des détails limités » sur le bogue.

Un ultimatum de 6 mois bénéfique ?

Le 7 février 2011, TippingPoint publiait son premier avis Zero-Day. TippingPoint avait expliqué alors que ce délai de six mois devait inciter les développeurs de logiciels à livrer leurs correctifs plus rapidement. « L'ultimatum lié à la communication publique de certaines informations sert à faire pression sur les vendeurs, » avait déclaré à l'époque dans une interview Aaron Portnoy, le chef de l'équipe de chercheurs de TippingPoint.

A ce jour, de l'avis d'Aaron Portnoy et de Derek Brown, autre chercheur de ZDI, le programme a plus ou moins bien fonctionné. « Ce qui ressort de cette expérience, c'est que nous avons constaté une plus grande réactivité, » a déclaré Derek Brown. « Si les éditeurs ne se montrent pas suffisamment diligents, et si, après avoir travaillé avec eux, il apparaît qu'ils ne sont pas très motivés pour sortir un correctif, nous rendons l'information Zero-Day publique. » Selon le chef de l'équipe, « il ne s'agit pas seulement de l'impact réel des vulnérabilités en terme de sécurité, mais de l'impact sur le public. »