France Telecom possède, comme toute grande entreprise moderne, un département sécurité conséquent. Département qui lui-même intègre une cellule de veille chargée d’évaluer le niveau de dangerosité des failles récemment découvertes et des exploits connus « in the wild ». Régulièrement, cette cellule publie le fruit de ses recherches, à la fois sous la forme de bulletins d’alerte, diffusés sur un site Web intitulé Vigil@nce (http://vigilance.aql.fr/), et dans les colonnes de plusieurs organes de presse spécialisés disposant d’un site Web.
France Telecom possède, comme toute grande entreprise moderne, un département juridique conséquent. Département qui lui-même intègre une cellule chargée de veiller au bon respect de la loi. La loi dans la plus grande rigueur de ses textes… mais pas franchement de son esprit.
Ainsi, certains de nos confrères journalistes et éditeurs ont pu, cette semaine, recevoir la missive suivante :
Vous recevez périodiquement les bulletins Vigil@nce, que vous publiez ensuite sur votre site web.
Notre conseiller juridique nous a demandé de ne plus vous transmettre les vulnérabilités ayant un niveau de gravité important.
En effet, dans l’éventualité d’une attaque sérieuse basée sur les informations publiées par votre site, notre société pourrait être accusée de vous avoir transmis des éléments ayant favorisé cette attaque.
A partir de ce jour, vous continuerez donc à recevoir les vulnérabilités de gravité faible, mais les vulnérabilités importantes ne vous seront plus transmises par Vigil@nce.
Grâce à de tels procédés, l’indice de menace relative qui s’affiche sur le site Vigil@nce , oscillera en permanence entre « beau fixe » et « dans la vie faut pas s’en faire ». La lénifiante information d’une cellule-d’alerte-qui-n’a-plus–le-droit-d’émettre-d’alerte devrait logiquement aboutir à la suppression pure et simple de celle-ci, puisque son utilité sera proche de l’inverse de l’infini.
Il n’existe pas, en France, et contrairement à l’ensemble de nos voisins européens (Allemagne, Grande Bretagne notamment) de Cert grand public qui, à l’instar du Cert Industrie, puisse délivrer une information objective, complète, délivrée sans le moindre alarmisme ou sensationnalisme. De Lopsi en LSQ, de conseillers du barreau tombés de leur perchoir en conseils avisés d’industriels cherchant à étouffer les purulences de certains développements bâclés, il devient de plus en plus difficile, pour le commun des mortels, de pouvoir compter sur une information ni sirupeuse, ni anesthésiée par les ciseaux d’Anastasie. Les professionnels, eux, fouillent régulièrement le flux des IRC, les papotages de Milw0rm, les colonnes du Bugtraq, les fils du Full Disclosure, la compilation de Secunia… il est vrai que ces sources étrangères ne risquent ni les foudres d’un juge, ni la ire d’un avocat-conseil engagé par un équipementier soucieux de son image de marque.
Illustration : Anastasie, gravure d’André Gill, L’Éclipse, 19 juillet 1874