Totalement inconnue il y a une semaine, l’entreprise Allemande Magix est parvenue en quelques heures à faire les gros titres de la presse spécialisée. Son secret ? Avoir répondu à la signalisation d’une faille par une injonction d’avocat et des menaces de procès alors bien entendu que l’inventeur avait clairement laissé entendre qu’il ne publierait rien avant émission du correctif. DarkReading détaille l’aventure, le Reg s’en fait également l’écho… Rarement entreprise a sabordé son image de marque avec une telle rapidité et aussi peu de frais. Histoire de confirmer cette position de champion, Attrition.org a immédiatement intégré Magix en tête de son classement des entreprises pratiquant la religion de la Sécurité par l’Obscurantisme renforcée par des menaces et mises à exécution.
Une collaboration intelligente avec des chercheurs en sécurité et une publication des détails sur les travaux d’assainissement du code débouche généralement par un renforcement de l’image de marque et une augmentation du niveau de confiance de la part des clients… et permet au passage de mieux contrôler l’expansivité volubile de certains chercheurs. La lecture de l’article « Coordinated Vulnerability Disclosure: From Philosophy to Practice » publié sur le blog du Microsoft Security Response Center est un parfait exemple de cette nouvelle forme de diplomatie, alors que cet éditeur a longtemps prôné la politique de la riposte musclée et le musellement des recherches.
Las,en Allemagne comme en France, des lois particulièrement répressives inculquent aux entreprises fautives l’instinct de la contre-attaque : la prétendue propriété intellectuelle devient alors plus importante que l’intérêt et la sécurité de l’usager. C’est là une attitude néfaste, une revendication de la victimisation à tout propos, que le législateur n’avait probablement pas prévu ou cherché à prévoir.
