Une taxe sur les vulnérabilités améliorerait-elle la sécurité des applications ?

0
72

Une taxe sur les vulnérabilités pourrait-elle stimuler les vendeurs à améliorer la sécurité de leurs produits ? Voila une bonne question.

Il a récemment été nommé directeur mondial d’Apple pour la sécurité et il devrait commencer son travail en mars, mais l’ancien cryptographe du National Security Agency et instructeur au SANS David Rice est déjà sur la ligne de front autour du débat sur la sécurité en proposant une taxe sur la vulnérabilité comme moyen de pousser les fabricants de logiciels pour obtenir (encore) plus de sécurité.

Comparé à une taxe sur la pollution, il veut que les entreprises payent pour les dommages qu’ils font avec les insécurités de leurs logiciels. Il estime qu’une telle taxe pourrait directement influer sur les choix des utilisateurs. « Lorsque le logiciel commence à coûte plus cher à cause de l’insécurité, les gens vont ajuster leur comportement », dit-il à Forbes.

Il pense que la taxe serait permettrait de créer une incitation très forte pour les entreprises à assainir leurs pratiques et de tester leurs logiciels de manière plus approfondie.

« Les vulnérabilités logicielles, comme la pollution, sont inévitables – la production de logiciel parfait est impossible – donc au lieu de dire tous les logiciels doivent être sûrs, nous laissons le marché déterminer le prix qu’il est prêt à payer pour la vulnérabilité dans le logiciel… ».

Il estime que cette solution frapperait le problème à sa racine, mais d’autres experts en sécurité ne sont pas convaincus – même si ils sont d’accord avec Mme Rice sur la nécessité pour les éditeurs de logiciels de se concentrer davantage sur la sécurité.

Kurt Baumgartner, chercheur principal au centre des malwares chez Kaspersky Lab, pense que la notion est erronée car elle ne prend pas en considération le fait que toutes les vulnérabilités sont exploitables.

Il ne voit pas non plus comment le système fiscal pourrait être instauré si les vendeurs eux-mêmes ne peuvent pas trouver un moyen de quantifier la gravité de leur propre vulnérabilité, afin de s’entendre sur une norme.

L’expert en sécurité Sophos James Lyne ne rejette pas l’idée, mais est préoccupé par l’impact qu’elle aurait sur le développement des produits et sur l’innovation en général.

« Une telle initiative devait être gérée avec prudence cependant, de nombreuses plates-formes technologiques de production brillantes ont une valeur de départ dans la vie sous-développée », dit-il à IT Pro.

Le chercheur en sécurité Jacoby David chez  Kaspersky Lab est plutôt sceptique quant à la possibilité de mise en œuvre d’une telle taxe. Il a souligné que toutes les vulnérabilités sont le résultat de la programmation.

«Quelques vulnérabilités existent à cause de la configuration locale du serveur où l’application s’exécute», a t-il souligné. En outre, il serait difficile pour quelqu’un de l’extérieur d’évaluer si la faille affecte vraiment le client alors qu’ils n’ont pas accès à l’information que le serveur gère.

Il a également soulevé la question de savoir ce qui se passerait si quelqu’un arrive avec une nouvelle technique d’exploitation qui affecte tous les logiciels écrits dans une langue donnée. Techniquement, ce n’est pas la faute du vendeur. En bref, il pense qu’il y a trop de variables qui doivent être prises en considération en vue d’un tel système d’impôt puisse réussir.