ANALYSE 
Sommaire Sécurité 
La divulgation de vulnérabilité : une pratique sous contrôle ?
Responsable, rémunérée, publique, la traque aux failles n'a jamais été si active. La sécurité en a-t-elle progressée ? La monétisation des découvertes ne devrait-elle pas être contrebalancée par le full-disclosure ?   (29/01/2007)
  En savoir plus
 Les pirates industrialisent l'exploitation des failles grâce au fuzzing
Dossiers Failles
Est-il possible de juger de l'éthique de tel ou tel expert en sécurité, et plus précisément de celle des chercheurs en vulnérabilité ? C'est en partie la question qui se pose lorsqu'on tente d'apprécier les bienfaits ou les méfaits des différentes pratiques de divulgation de faille. Le sujet a déjà fait l'objet d'âpres débats afin de déterminer ce qu'il était responsable, ou au contraire irresponsable, de faire.

Le full-disclosure ou divulgation totale cristallise d'ailleurs toujours les passions. "Il n'en existe pas de définition unique. A l'origine, c'est publier une information sur l'existence d'une vulnérabilité. Le cas extrême du full-disclosure est de publier l'information avec des données suffisantes pour le développement d'un exploit, sans en avoir informé préalablement l'éditeur ou dans un délai très court après la mise à disposition d'un correctif", définit Nicolas Ruff, chercheur en sécurité auprès d'EADS.

Il n'existe pas de motivation unique au full-disclosure, même si elle s'est longtemps voulue - et le demeure souvent encore -, un moyen d'infliger un camouflet à un éditeur pour le manque de sécurité de ses logiciels, ou pour alerter les utilisateurs. Les vendeurs de solutions, il est vrai, n'ont pas toujours été exempts de défauts. La divulgation publique apparait parfois alors comme le dernier recours pour obtenir d'eux qu'ils réagissent et/ou cessent d'appliquer la sécurité par l'obscurité.

"Pour un éditeur de logiciel, les vulnérabilités sont largement une extériorité. Elles vous affectent vous, les utilisateurs, bien plus qu'elles n'ont d'impact sur lui. Un vendeur futé traite les failles moins comme un problème logiciel, que comme une question de relations publiques. Et donc si nous, la communauté des utilisateurs, voulons obtenir des éditeurs qu'ils publient des correctifs, nous devons faire en sorte que les vulnérabilités soient bien plus qu'un simple sujet de RP", lâche le gourou de la sécurité, Bruce Schneier.

La stratégie de sécurité par l'obscurité a ainsi encouragé plusieurs divulgations publiques retentissantes. La dernière en date est probablement celle qui a visé Cisco, même si la démonstration du chercheur fut vite retirée sous la menace de poursuites. "On se souvient encore de la vidéo sur Internet montrant les intérimaires employés par Cisco arrachant des programmes les pages se rapportant à la présentation de Michael Lynn sur une faille dans IOS", rappelle Nicolas Ruff.

"Le secret n'améliore pas la sécurité, il l'étrangle"
(B. Schneier - Couterpane)
La conséquence la plus évidente du full-disclosure pourrait a priori être de faciliter le travail des pirates en leur donnant des données exploitables pour concevoir des codes malveillants et attaquer des cibles durant la fenêtre d'exposition. C'est-à-dire avant la publication d'un correctif par l'éditeur.

"Le raisonnement qui est tenu est qu'en gardant les vulnérabilités secrètes, on évite ainsi que les pirates ne mettent la main dessus. […] Mais cette position pose comme postulat que les pirates ne peuvent pas découvrir par eux-mêmes des failles, et que les éditeurs consacreront du temps et de l'argent à des vulnérabilités secrètes. Aucune de ces deux hypothèses n'est vraie. Les hackers ont prouvé qu'ils étaient assez compétents en la matière, et le full disclosure est l'unique raison qui pousse les éditeurs à corriger régulièrement leurs systèmes", assène de nouveau Bruce Schneier.

Une autre pratique fait elle aussi l'objet de controverses : la monétisation des vulnérabilités. La découverte est en effet devenue un véritable enjeu commercial. Des sociétés de sécurité comme TippingPoint et iDefense disposent ainsi de leur propre programme permettant de rémunérer des chercheurs pour leurs trouvailles. iDefense a récemment offert 8 000 dollars pour toute faille dans Windows Vista ou Internet Explorer 7.

Toutefois, ces firmes à priori intègres, ne sont pas les seuls acheteurs potentiels. Ainsi en septembre dernier, le chercheur et créateur du projet Metasploit, HD. Moore, révélait avoir été approché par un individu lui proposant entre 60 000 et 120 000 dollars pour chacune des vulnérabilités qu'il trouverait dans IE. Une offre qu'il a bien entendu écartée.

"le cycle de vie d'une faille est parfois quelque peu fantasmé"
(N. Ruff - EADS)
"Les experts se trouvent donc confrontés à deux choix : soit être rémunérés pour leur découverte, soit entrer dans les bonnes grâces de Microsoft", interprète Nicolas Ruff, qui juge en outre très improbable de voir se dérouler un mois du bug Vista, comme la formule a déjà été déclinée sur Apple, les navigateurs et les noyaux - et bien prêt de l'être pour les bases de données Oracle.

La divulgation responsable telle que décidée d'un commun accord entre certains éditeurs et des chercheurs est clairement une mauvaise idée pour Bruce Schneier, qui insiste : "Le secret empêche les gens d'évaluer précisément leur propre risque. Le secret exclut la discussion publique au sujet de la sécurité, et inhibe l'éducation à la sécurité indispensable à son renforcement. Le secret n'améliore pas la sécurité, il l'étrangle."

Selon Nicolas Ruff, "la réalité est sensiblement biaisée. Quand on regarde les honeypots, on s'aperçoit que la majorité des attaques est en fait de type brute force SSH ou sur des failles PHP [...] J'ai l'impression que le cycle de vie d'une faille est parfois quelque peu fantasmé. On a très rarement la concrétisation, ou du moins nous en entendons très peu parler. Il est rare que des affaires remontent à la surface."

  En savoir plus
 Les pirates industrialisent l'exploitation des failles grâce au fuzzing
Dossiers Failles
"J'ai le sentiment qu'il y a deux mondes, un premier d'un Internet qui connait finalement peu d'attaques, dans lequel les failles même publiques ne débouchent pas forcément sur des exploits. Et un second monde, d'attaques ciblées, de canaux cachés, peut-être le fait d'Etats comme la Chine ou les Etats-Unis, mais dont finalement on ne parle strictement jamais", conclut-il.

Christophe AUFFRAY, JDN Solutions Sommaire Sécurité
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters