Le thème des vulnérabilités logicielles agite une nouvelle fois
le secteur de la sécurité informatique. A l'occasion de la conférence
Black Hat 2005 qui s'est tenue à Las Vegas du 23 au 28 juillet
2005, 3Com et Verisign ont ouverts le bal sur le rôle des chercheurs
indépendants dans le domaine de la sécurité.
3Com a ainsi annoncé son projet ZDI ou Zero Day Initiative qui
vise à minimiser le délai entre la découverte d'une vulnérabilité
et son exploitation sur le terrain. Dans ce cadre, la société
propose une prime aux chercheurs indépendants, de manière à
les inciter à communiquer leurs travaux au plus tôt. Car l'un
des dangers principal qu'encoure aujourd'hui un éditeur se situe
dans les failles découvertes mais non divulguées dont peuvent
tirer partie les créateurs de vers ou de virus bien informés.
Or
jusqu'à présent, les éditeurs comptaient avant tout sur la bonne
volonté des chercheurs indépendants pour transmettre leurs découvertes.
Désormais, selon le niveau de dangerosité de la vulnérabilité
découverte, 3Com offrira jusqu'à 20 000 dollars de prime. Une
stratégie planifiée depuis 2004 par le groupe et concrétisée
en décembre dernier lors du rachat de l'acteur TippingPoint,
spécialisé dans la recherche de vulnérabilités logicielles,
pour 430 millions de dollars.
Par le biais de cette annonce, 3Com vient concurrencer iDefense,
autre acteur connu sur le secteur des vulnérabilités logicielles.
Rachetée mi-juillet par Verisign pour 40 millions de dollars,
iDefense proposait en moyenne 2 000 dollars par faille découverte
aux acteurs indépendants.
Ce modèle comporte plusieurs avantages : il permet ainsi à la
fondation Mozilla, responsable du navigateur Web Firefox, de
lister les bugs affectant ces logiciels moyennant 500 dollars.
Dans ce cas, le but premier reste d'épauler le manque de compétences
internes. Autre atout, le système de prime stimule en théorie
la recherche sur un produit donné.
L'affaire
Cisco / ISS relance le débat sur la publication
des failles. |
La commercialisation des vulnérabilités logicielles par des
acteurs aussi importants que Verisign ou 3Com rapproche toutefois
le monde des créateurs de virus de celui des spécialistes
de la sécurité. En effet, les codes malveillants tels Sasser
s'appuient sur des failles logicielles afin de faciliter leur
propagation en limitant l'interaction avec l'utilisateur.
Par ailleurs, le décalage entre la mise à jour des
systèmes d'informations des entreprises et le rythme de sortie
des patchs chez les éditeurs laisse toujours une fenêtre
ouverte en entreprise.
La publication ou non des vulnérabilités logicielles a constitué
le deuxième sujet phare de cette conférence Black Hat 2005.
Michael Lynn, ancien chercheur en sécurité chez Internet Security
System (ISS), y a dévoilé dans les grandes lignes une faille
majeure affectant les routeurs Cisco sous système d'exploitation
IOS (Internet Operating System), et ce contre l'avis de son
ex-employeur.
Le discours officiel qui avait été planifié
pour la conférence par ISS, a été annulé peu avant
la conférence suite à un accord verbal obtenu par Cisco. L'employé
d'ISS décidait alors de démissionner afin de pouvoir s'exprimer
librement sur cette vulnérabilité en public. Après
une procédure en justice engagée par Cisco et
ISS pour non respect du secret professionnel et violation
des droits d'auteurs sur le logiciel Cisco, l'affaire s'est
finalement résolue à l'amiable. Le chercheur
accepte de remettre l'ensemble des documents relatifs à
la faille Cisco et de ne plus en faire mention tandis que
les organisateurs du Black Hat se sont engagés à
ne pas diffuser les vidéos de la conférence
de M. Lynn.
En France, un cas similaire à celui de Cisco engage toujours
Guillaume Tena, alias Guillermito à l'éditeur d'antivirus Viguard
(lire l'article
du 09/03/2005). L'enjeu pour les acteurs indépendants
consiste à voir leur travail reconnu ainsi qu'à
sensibiliser clients et éditeurs sur les risques des
différents produits. Au contraire, les éditeurs
cherchent avant tout à protéger leurs produits
et leurs clients d'une attaque éventuelle qui serait
la conséquence d'une publication hâtive d'une vulnérabilité. |