Cyber Resilience Act : des experts cyber opposés aux divulgations de failles

Une cinquantaine d’experts en cybersécurité ont demandé aux instances européennes de revenir sur l’exigence de divulgation des vulnérabilités du Cyber Resilience Act (CRA), dans une lettre ouverte publiée le 3 octobre 2023. Les signataires réclament la suppression ou la modification profonde de l’article 11 de ce projet de loi européen, en cours de discussion.

Cet article exige en effet que les éditeurs de logiciels divulguent leurs vulnérabilités non corrigées aux agences gouvernementales européennes, dans les 24 heures suivant leur découverte. « Cela signifie que des dizaines d’agences gouvernementales auraient accès à une base de données en temps réel des logiciels dont les vulnérabilités n’ont pas été corrigées », peut-on lire dans le courrier.

Précipiter ainsi le processus de divulgation comporte, selon les experts cyber, trois risques majeurs :

• que les gouvernements de l’UE exploitent eux-mêmes ces failles à des fins de renseignement ou d’espionnage ;
• que des acteurs malveillants tentent de dérober ces bases de données de vulnérabilités sans correctif ;
• que la collaboration entre les chercheurs cyber traquant les failles et les éditeurs de logiciels s’en trouve perturbée.

Les signataires soulignent par ailleurs que « le CRA exige déjà des éditeurs de logiciels qu’ils atténuent les vulnérabilités sans délai (…). Nous soutenons cette obligation, mais nous plaidons également en faveur d’un processus de divulgation responsable et coordonné, qui concilie le besoin de transparence et le besoin de sécurité ».