En août dernier, HP TippingPoint, le plus grand programme mondial de collecte d'erreurs, avait annoncé qu'il respecterait un délai de six mois avant de rendre public les vulnérabilités achetées à des chercheurs indépendants via la Zero Day Initiative (ZDI) y compris si elles n'étaient pas corrigées dans ce délai. Auparavant, la politique de ZDI consistait à garder indéfiniment le silence sur une vulnérabilité après l'avoir signalé à un éditeur, et à livrer son propre avis uniquement après qu'un patch ait été publié. Comme promis, TippingPoint vient donc de publier son premier avis concernant environ deux douzaines de vulnérabilités non patchées, dont certaines avaient été signalées aux développeurs il y a plus de deux ans et demi. 9 des 22 failles concernent un logiciel d'IBM, 5 concernent des programmes de Microsoft, 4 se trouvent dans un programme d'Hewlett-Packard et les quatre dernières concernent respectivement des produits de CA, EMC, Novell et SCO.

Obliger les vendeurs à ne pas ignorer les vulnérabilités

Les 5 vulnérabilités de Microsoft révélées par TippingPoint se trouvent dans les applications Office, et précisément 4 dans Excel, et la 5ème dans PowerPoint. Microsoft a déclaré qu'elle avait l'intention de corriger les 5 failles dans le cadre de sa mise à jour de sécurité mensuelle Patch Tuesday, mais s'est ravisée à la dernière minute. « Microsoft connaissait les 5 vulnérabilités divulguées par ZDI et devait y remédier dans le cadre normal de son cycle de diffusion dont l'échéance arrivait en février, » a déclaré Jerry Bryant, responsable au sein du Microsoft Security Response Center (MSRC). «  Cependant, au cours du processus, nous avons découvert des problèmes susceptibles d'empêcher le déploiement de la mise à jour par nos clients et nous avons choisi de retirer ce correctif du dernier bulletin pour un développement supplémentaire. » TippingPoint dit avoir alerté il y a plus de sept mois un développeur de Redmond sur 4 des 5 vulnérabilités encore non corrigées. « Le couperet de la date limite oblige les éditeurs à ne pas ignorer les vulnérabilités, » a déclaré Dan Holden, directeur du DVLabs de TippingPoint. « C'est comme pour la conformité en matière de sécurité. Cela oblige les fournisseurs à respecter une échéance et de se mettre en conformité. Et nous ne voulons pas que les bugs restent sans solutions pendant des années. »

Google avait déjà proposé un délai de deux mois

La décision de TippingPoint d'imposer une date limite est venue après des mesures similaires prises par d'autres l'été dernier. Ainsi, en Juillet 2010, Google avait relancé le débat à propos des bogues en proposant, entre autres choses, que les chercheurs s'imposent un délai de 60 jours maximum. Google faisait alors valoir que les chercheurs seraient libres de rendre publiques leurs conclusions dans le cas où un patch n'aurait pas été fourni dans ce délai de deux mois. Quelques jours plus tard, Microsoft répondait en disant qu'elle voulait changer le terme de « divulgation responsable » en « divulgation coordonnée des vulnérabilités » pour mieux refléter sa politique et retirer du débat le mot « responsable », trop connoté selon elle. Pourtant, lorsque TippingPoint avait fait part de son intention de changer les règles, Microsoft n'y avait pas prêté tellement d'attention.