💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

La Maison Blanche publie une nouvelle charte pour mieux communiquer les vulnérabilités de sécurité

Des experts en technologie et en sécurité ont exigé plus de transparence sur les pratiques du gouvernement américain pour gérer les failles de sécurité dont il a connaissance. Cette demande fait bien sûr suite à la divulgation récente par le groupe Shadow Brokers d’une série d’outils et d’exploits top secrètes de l’Agence de sécurité nationale.

Un peu plus de transparence

L’administration américaine a entendu ces critiques et a publié la semaine passée une nouvelle versions de son processus d’évaluation des vulnérabilités appelé VEP. C’est en effet celui-ci qui régit aujourd’hui l’utilisation et la divulgation des vulnérabilités logicielles que la NSA et d’autres agences gouvernementales pourraient découvrir.

☕ D'un seul clic , offrez un café pour cette veille gratuite ! Merci !

La charte VEP fournit de nouveaux détails sur le processus que le gouvernement utilise pour déterminer s’il faut aviser une entreprise privée d’une faille de sécurité dans ses produits ou services ou pour l’exploiter à des fins de collecte de renseignements et à d’autres fins.

https://www.whitehouse.gov/blog/2017/11/15/improving-and-making-vulnerability-equities-process-transparent-right-thing-do

Transparence vs exploitation

De nombreux experts en cybersécurité défendent le fait que de retenir indistinctement la vulnérabilité et d’exploiter les données des éditeurs IT est extrêmement dangereux. Wannacry en est l’exemple criant en exploitant des failles de type «zero-day» d’EternalBlue issue du vols d’outils d’attaque de la NSA par les Shadow Brokers.

Leur argument : si le gouvernement américain peut trouver ces failles, d’autres, y compris les cybercriminels et les acteurs de l’État-nation, le peuvent aussi.

En théorie, la loi de Kerckhoffs devrait également s’appliquer aux vulnérabilité. La transparence doit idéalement prévaloir sur la sécurité par l’obscurité.

La charte:

Cliquer pour accéder à External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF

et la fiche descriptive associée:

Cliquer pour accéder à External%20-%20White%20House%20Fact%20Sheet%20on%20VEP%20-%20FINAL%2011152017.PDF

Découvert via cet article:

White House Releases New Charter for Using, Disclosing Security Vulner

Updated Vulnerability Equities Process provides transparency into how government will handle new vulnerabilities that it discovers in vendor products and servic

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking

Sécurité informatique - Ethical Hacking : Apprendre l'attaque pour mieux se défendre

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

Cyberattaques: Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.

🚀 DCOD, c’est 100 % d’analyses, 0 % de pub.
Si ce contenu vous aide à y voir clair, vous pouvez l’aider à continuer.

Soutenir cette veille pour un café, merci !

Soutenir DCOD, c’est aider à payer l’hébergement, les outils pros et les licences nécessaires pour produire une veille cybersécurité fiable et accessible à tous.

×