Pourquoi ne puis-je pas poursuivre en justice mon fournisseur de logiciels ?

Imaginez : vous venez d'acheter une nouvelle voiture, d'y fixer vos plaques vertes et vous prenez l'autoroute pour voir si la limite de vitesse à 250 km/h du compteur est réelle. Malheureusement, il y a trop de trafic et vous devez ralentir. Vous appuyez sur vos freins, mais ceux-ci ne répondent pas. Vous franchissez la barrière de sécurité, entrez dans un champ et réussissez finalement à arrêter votre véhicule. Par chance, vous n'êtes pas blessé, mais la voiture est une épave...

 

Heureusement, rien n'est perdu, car la «sécurité» est garantie par le fabricant, et vous pouvez donc attaquer celui-ci en justice pour être indemnisé. En outre, si la cause se révèle être un défaut de conception, il devra rappeler tous les autres véhicules pour corriger celui-ci , à ses propres frais. De fait, les obligations légales et les pressions des clients et des clubs automobiles assurent la production de voitures fiables et, en particulier, sûres.

Imaginez maintenant que vous venez de télécharger un nouveau navigateur web. Vous l'installez sur votre ordinateur portable et surfez sur internet. Mais votre nouveau navigateur a des défauts, et l'une de ses vulnérabilités est rapidement exploitée à des fins malveillantes. Les attaquants parviennent à voler vos comptes Amazon, eBay et Paypal, et font leurs courses avec votre argent. Vous n'êtes pas la seule victime : des centaines de milliers d'autres personnes sont affectées, et les pertes totales sont estimées à des millions d'euros. Vous avez beau essayer de contacter le fournisseur du logiciel, vous vous heurtez à un silence total. Après quelques mois, enfin, après que des entreprises de sécurité et les médias ont rappporté les risques de sécurité liés à ce navigateurs web, le fournisseur publie une courte annonce et reconnaît les faits.

Tout comme je m’attends à ce que ma voiture soit sûre, je m'attends à ce que les logiciels que j'utilise soient sécurisés. Malheureusement, ça ne semble pas être le cas. Qui doit donc assumer la responsabilité, le fournisseur ou l'utilisateur de logiciels informatiques ? Pourquoi la sécurité informatique n'est-elle pas traitée comme la sécurité automobile ? Cette discordance est peut-être due au fait que beaucoup de logiciels contiennent des failles dès leur conception, et qu'un certain nombre de technologies, valides dans la plupart des cas, sont parfois détournées - ce dont beaucoup d'entreprises ne se préoccupent pas. L'argent et les règlementations sont les meilleures façons d'obtenir des logiciels raisonnablement sécurisés. Mais il n'y a (pour le moment) aucune réglementation forçant Adobe, Apple, Microsoft ou Siemens à être conformes.

Microsoft, blâmé par le passé pour ses systèmes d'exploitation pré-Windows XP SP2 mal sécurisés, a compris la leçon et encourage activement le développement de logiciels sécurisés. L'argent a été leur énergie motrice. Apple donne l'impression de fournir des logiciels correctement sécurisés, mais communique très mal au sujet de nouvelles vulnérabilités. Siemens a compris la leçon après l'attaque Stuxnet contre leurs PLC et réexamine désormais comment intégrer la « sécurité » à ses critères de développement.

Cela dit, nous sommes encore seuls face aux conséquences. Nous devons subir les répercussions financières de leurs vulnérabilités. Nous devons mettre en place des mesures de protection et de détection. Nous devons supporter les coûts de mise à jour et de logiciels anti-virus. Nous devons faire des audits... Imaginez un instant si vous deviez en faire de même pour votre voiture ! Avons-nous besoin de règlementations et de lois pour obliger les vendeurs de logiciels informatiques à fournir de meilleurs codes - qui soient sécurisés par définition - et des appareils mieux protégés ? Nous sommes intéressés par votre avis sur la question : écrivez-nous à Computer.Security@cern.ch.

Au passage, quelle serait, pour vous, une bonne motivation pour fournir du code sécurisé ? Souvenez-vous de notre article du Bulletin « Un petit conte du mouton noir de -ITÉ
 ». La sécurité doit devenir une part entière du problème, au même titre que la disponibilité, la fonctionnalité, la maintenabilité et la convivialité. Du code plus sécurisé entraîne moins d’interventions de réparation et, de fait, augmente la disponibilité tout en améliorant la maintenabilité. Du code plus sécurisé signifie un meilleur contrôle des interfaces et des entrées utilisateurs, et ainsi, plus de convivialité et de fonctionnalité. Si vous voulez apprendre comment mieux faire ou pour des conseils ou un audit de sécurité complet, contactez-nous à Computer.Security@cern.ch ; ou jetez un coup d’œil à nos formations dédiées à la programmation sécurisée prévue pour septembre 2013 :

Pour plus d'informations, contactez l'équipe de sécurité informatique ou consultez notre site web.


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team