Un chercheur anonyme a déversé sur GitHub le mode d’emploi de dizaines de failles non corrigées, sans avertir un seul éditeur. Deux failles critiques s’en détachent, l’une déjà exploitée, et le procédé interroge l’avenir même de la divulgation responsable.
Les gens, c’est toujours des gens…
La colère, la frustration etc…ça provoque des tas de réactions et l’IA, ne fait que les amplifier…
Ça ne va pas aller en s’arrangeant…
Pourquoi ne pas légiférer que la publication de failles sans avoir fait la démarche vertueuse de prévenir les éditeurs, dans les usages habituels, équivaut à un acte malveillant ? Le transfert de responsabilité s’effectuant 90 jours à partir de la signalisation de la faille.
Parce que là, ce ne sont pas les éditeurs, les responsables. Ce sont des kikoolol qui font 2 lignes de prompts et qui se prennent pour des experts (le fameux lulz dans l’image ne fait pas sérieux…). Irresponsables au possible dans un domaine qui exige une certaine rigueur dans le comportement.
Bref…
Parce que cette méthode est totalement arbitraire. Une faille qui est découverte par un gus, si tu comptes 90j pour la publier, ça veut dire que tu donnes 90j aux autres attaquants potentiels pour l’exploiter (car le monde où un génie trouve une faille tout seul est fini, maintenant, c’est le même génie d’Anthropic qui s’y colle et donc trouvera les mêmes failles si 1000 personnes différentes lui demandent).
La meilleure solution c’est d’obliger le site à informer ses clients qu’une faille existe au moment même où il est informé de l’existence de la faille. En général, la faille est liée à une méthode/fonction spécifique du logiciel, et donc les clients peuvent décider de désactiver la fonction temporairement pour éviter les problèmes. Et le même Anthropic qui a détecté la faille peut tout autant la corriger en quelques heures, ce qui implique une réactivité en jours et pas en semaines ou en mois.
Oui et alors ?
Donner une période de temps, dans un aspect juridique, est TOUJOURS arbitraire (vous avez 1 mois pour, votre délai de rétractation est de etc.)
Le problème n’est pas les autres attaquants. On s’en fout un peu ici. Ces failles ne sont pas d’hier et il y a eu plusieurs articles qui parlent déjà de failles vieilles de plusieurs années.
On parle ici de la responsabilisation de ceux qui publient ces failles avant de respecter un minimum un certain process. La distinction est importante.
Et c’est même un des points de l’article.