« Tout compte fait, on a peut-être des raisons d’être inquiet », dit en substance le communiqué de Citect, cet éditeur spécialisé dans les logiciels ce contrôle de processus du secteur de l’énergie. Au début du mois, un exploit publié sur Milworm sous la plume de Kevin Finisterre, plaçait sous les feux de la rampe une vulnérabilité affectant le logiciel CitectScada. Publication motivée essentiellement par les efforts dudit éditeur à minimiser la dangerosité du défaut. Mais, en quelques heures, et grâce à la littérature de Finisterre, Citect est passé de l’obscur anonymat propre à une entreprise très spécialisée au soleil brûlant des projecteurs des médias. Et pas franchement dans un rôle de premier de la classe. Il aura tout de même fallu plus d’une dizaine de jours pour que la « cellule de crise » réagisse et reconnaisse publiquement que l’application d’un correctif était hautement souhaitable… « même si, jusqu’à présent, aucun client n’avait eu à déplorer la moindre malversation ».
Cette affaire remet sur le tapis l’éternel débat relatif à la divulgation des détails des failles. Face à l’inertie des éditeurs et équipementiers, les chercheurs en sécurité n’ont qu’un seul moyen de « persuasion » : l’impact d’une publication sur l’image de marque de l’entreprise. Ce que refusent généralement de reconnaître les adversaires de la divulgation responsable, c’est que c’est généralement là un acte de « dernier recours », après parfois des semaines, des mois d’échanges d’informations entre l’inventeur de la faille et le principal intéressé.
