[@libe] Chronique #Wargames, s01e24 : «L'attaque, faille de la cyberdéfense». Où l'on revient sur la gestion des vulnérabilités des deux côtés de l'Atlantique liberation.fr/planete/2019/0…

Côté FR : comme le soulignait @AudeGery (), le seul critère évoqué par le patron de l'@ANSSI_FR pour la notif. d'une faille à la partie défensive est la possibilité de remédier ou non à la faille. Premier pb : qui en décide ?

Deuxième grosse question : combien de temps ça prend ? Ce n'est pas une petite affaire : tant que ce n'est pas notifié, tu peux exploiter la faille (mais d'autres peuvent le faire aussi).

Côté US : le processus est bien documenté maintenant. Première version déclassifiée mais caviardée en 2016, puis une charte publique en 2017 whitehouse.gov/sites/whitehou…

C'est précis sur les parties prenantes, les grands critères. Sur le papier, les délais sont assez serrés. Mais il y a un (énorme) loup : les accords de confidentialité avec des partenaires étrangers ou privés, comme souligné ici par l'EFF eff.org/deeplinks/2017…

A lire en complément, ce papier sur le blog Lawfare «The Future of Vulnerabilities Equities Processes Around the World» lawfareblog.com/future-vulnera…

Il revient sur la publication de la charte US (après le gros débat, post-Shadow Brokers, sur les failles que la NSA se garde sous le coude). Le Royaume-Uni a fait de même. L'Allemagne a annoncé travailler sur un VEP qui sera tout ou partie public. Et la France ? 😎