Construisons une relation de confiance grâce à Disclose.io

15 Juil 2019

Pourquoi avez-vous acheté cet antivirus plutôt qu’un autre ? Parce qu’il coûte moins cher Parce qu’il vous semble plus fiable, bien sûr. Pourquoi les chercheurs en sécurité passent plus de temps à analyser cette application plutôt qu’une autre ? Parce qu’ils font plus confiance à l’entreprise qui a développé l’application en question. Toutes les entreprises n’acceptent pas de la même façon qu’on leur dise que leurs produits sont vulnérables. Certaines entreprises menacent même les chercheurs de les poursuivre en justice.

Oui, en général nous choisissons un produit ou une entreprise suivant la confiance qu’il nous inspire. Une simple erreur peut réduire à néant tout ce travail alors qu’il est beaucoup plus difficile de construire une relation de confiance. Cet effort pourrait être comparé à la construction d’une tour avec des milliers de briques ; tout peut s’écrouler si vous retirez un seul élément mais la construction exige beaucoup de travail puisque vous devez poser minutieusement chaque brique. Cela requiert beaucoup de temps et d’efforts.

Une sphère de sécurité pour les chercheurs

À Kaspersky, nous voulons que nos clients, et éventuels clients, nous fassent confiance et c’est pourquoi nous construisons cette tour brique par brique et soigneusement pour ne pas qu’elle s’écroule. Nous avons déjà lancé notre Global Transparency Initiative. Nous espérons que cette action reflète la transparence de notre entreprise. Nous avons aussi étendu notre programme Bug Bounty. Nous avons maintenant l’honneur de vous annoncer que nous avons rejoint le projet Disclose.io de Bugcrowd pour garantir à ceux qui analysent nos produits et y découvrent des vulnérabilités que nous n’allons pas les poursuivre en justice.

Bugcrowd a lancé Disclose.io en août 2018 en collaboration avec un chercheur en sécurité reconnu, Amit Elazari, pour fournir un cadre juridique clair qui protège les entreprises et les chercheurs impliqués dans les programmes Bug Bounty et de divulgation des vulnérabilités. Pour faire simple, Disclose.io offre un ensemble d’accords entre les chercheurs et les entreprises. Toute entreprise ayant rejoint Disclose.io accepte de respecter ces accords et il en est de même pour les chercheurs. Ces accords sont très simples. Ils sont faciles à lire et à comprendre. Nous sommes loin des centaines de sous-sections et des textes écrits en petits caractères ici et là qui font que certains accords légaux soient pratiquement impossibles à traiter. GitHub vous présente les clauses principales, ce qui ajoute une certaine transparence à ce projet. Les documents disponibles sur GitHub ne peuvent pas être modifiés sans que l’ensemble de la communauté ne le remarque.

Ces accords encouragent les entreprises à ne pas sanctionner les chercheurs qui font ces analyses mais à travailler avec eux pour comprendre d’où vient la vulnérabilité et comment la corriger. Ce système cherche aussi à reconnaître leur contribution pour améliorer la sécurité du produit. D’autre part, ces accords exigent que les chercheurs gèrent de façon responsable les vulnérabilités qu’ils trouvent et à ne pas divulguer publiquement ces informations avant que l’erreur ne soit corrigée, à ne pas profiter des données auxquelles ils ont accès, à ne pas faire chanter les fournisseurs et ainsi de suite.

Pour résumer, Disclose.io dit ce qui suit :  » Chers chercheurs et chères entreprises, si chacun adopte un comportement correct vous allez tous profiter de ce système.  » Nous sommes tout à fait d’accord avec cette affirmation et c’est pourquoi nous avons rejoint le mouvement Disclose.io. Nous souhaitons offrir une sphère de sécurité aux chercheurs qui veulent trouver les points faibles de nos produits.

Nos clients profitent aussi de ce programme. Plus un service ou un produit est analysé par la communauté de la sécurité, plus il est sécurisé. Nous parlons de solutions de sécurité donc il est indispensable qu’elles soient aussi sûres que possible.