Deux papiers à lire, sur le blog de Thierry Zoller cette semaine. Tout d’abord, une triple annonce de vulnérabilités découvertes sur Aladdin eSafe, Avira Antivir et Comodo. Nul détail technique compromettant ou dangereux, comme d’habitude de la part de ce scrupuleux chercheur. L’expérience et les communications précédentes de Zoller laissent clairement entendre que ces alertes sont on ne peut plus sérieuses.
Le second article est accrocheur en diable et s’intitule « Cher Thierry, pourquoi vous comportez-vous comme un trou-du-cul arrogant ? ». Une question posée directement au chercheur et qui lui permet de revenir de façon plus explicite sur sa politique de divulgation. Sans divulgation, plus d’aiguillon contraignant les éditeurs à faire des efforts, plus de confiance réelle entre le client et son fournisseur/vendeur de logiciels, plus la moindre crédibilité quand aux assertions faites par les éditeurs à propos de la qualité de leur « SDL » et de leurs publications de correctifs. La position de Zoller, ainsi que sa politique d’avertissement en fonction d’un calendrier et d’une série d’avertissements préalables, est fort proche d’une tentative de RFC écrite il y a quelques années (par deux chercheurs travaillant pour le compte de Microsoft, faut-il noter). La position de Secunia –Zoller le rappelle à son interlocuteur- est d’ailleurs issue en droite ligne de cette politique de divulgation liée à une série d’échanges d’informations préalables.
Thierry Zoller ne demande pourtant pas l’impossible. Seulement que soit appliquée une règle plus stricte, plus claire pour tout ce qui touche à la correction d’une vulnérabilité sitôt celle-là découverte. Il ne revendique pas une « mention de paternité » systématique –quoi que cela semble être la moindre des choses-. Il n’exige pas une « rétribution financière » comme d’autres de ses confrères. Simplement la reconnaissance du travail des chercheurs, un effort mutuel tant de la part de l’éditeur, qui doit faire son possible pour corriger ses erreurs, que de celle du chercheur, qui doit garder à l’esprit les conséquences dramatiques que pourraient avoir une publication détaillée du problème avant l’heure.