Full Disclosure : Microsoft se fâche avec des chercheurs en sécurité

Faut-il divulguer les failles de sécurité informatique repérées par les chercheurs en informatique ? À cette question, il y a bien évidemment les partisans d'une divulgation rapide et publique, afin que la faille et le correctif puissent servir à l'ensemble de la communauté, afin de ne pas répéter les mêmes erreurs.

Par ailleurs, l'autre avantage du Full Disclosure est justement de pousser l'entreprise ou le particulier à corriger le problème. En effet, sans cette divulgation publique, il est certain que de nombreuses failles resteraient accessibles. Une philosophie qui est donc nettement à l'opposée de la "sécurité par l'obscurité", qui mise plutôt sur un flou perpétuel pour se protéger.

Cependant, le Full Disclosure reste un sujet particulièrement sensible, surtout lorsqu'elle concerne une société très importante du monde informatique. C'est typiquement le cas de Microsoft, puisque ses systèmes d'exploitation et ses logiciels équipent une très grande majorité des ordinateurs de la planète. Dès lors, toute divulgation publique d'une faille non résolue peut rapidement devenir une véritable menace pour de nombreux utilisateurs à travers le monde.

Alors, lorsqu'un spécialiste en sécurité informatique chez Google, Tavis Ormandy, a divulgué une faille de sécurité touchant le service "Aide et Support" des systèmes d'exploitation Windows XP et Windows Server 2003, la réaction du géant de Redmond a été particulièrement négative. Selon Mike Reavey, directeur du Microsoft Security Response Center (MSRC), l'informaticien n'a pas accordé suffisamment de temps à Microsoft pour résoudre le problème.

"Le problème nous a été remonté le 5 juin 2010 par un chercheur en sécurité de Google, et ensuite il a été rendu public moins de quatre jours plus tard, le 9 juin 2010. La divulgation publique des détails de cette vulnérabilité et comment l'exploiter, sans nous donner le temps de résoudre le problème affectant potentiellement nos clients, rend plus probable des attaques contre des clients à risque" a-t-il déclaré.

D'ailleurs, Microsoft affirme que la décision irréfléchie de Tavis Ormandy a conduit à l'attaque de plus de 10 000 postes informatiques, selon les statistiques fournies par la firme de Redmond.

Selon Ars Technica, qui rapporte cette histoire, la réaction emportée de Microsoft a manifestement déplu à d'autres chercheurs spécialisés dans la sécurité informatique. En effet, ces derniers ont constitué un groupe, le Microsoft-Spurned Researcher Collective (un groupe moquant le MSRC de Microsoft), afin de dévoiler systématiquement toutes les brèches découvertes.