|
|
|
|
La divulgation de vulnérabilité : une pratique sous contrôle ? |
Responsable, rémunérée, publique, la traque aux failles n'a jamais été si active. La sécurité en a-t-elle progressée ? La monétisation des découvertes ne devrait-elle pas être contrebalancée par le full-disclosure ?
(29/01/2007) |
|
Est-il possible de juger de l'éthique de tel ou tel expert en
sécurité, et plus précisément de celle des chercheurs en vulnérabilité
? C'est en partie la question qui se pose lorsqu'on tente d'apprécier
les bienfaits ou les méfaits des différentes pratiques de divulgation
de faille. Le sujet a déjà fait l'objet d'âpres débats afin
de déterminer ce qu'il était responsable, ou au contraire irresponsable,
de faire.
Le full-disclosure ou divulgation totale cristallise
d'ailleurs toujours les passions. "Il n'en existe pas de définition
unique. A l'origine, c'est publier une information sur l'existence
d'une vulnérabilité. Le cas extrême du full-disclosure est de
publier l'information avec des données suffisantes pour le développement
d'un exploit, sans en avoir informé préalablement l'éditeur
ou dans un délai très court après la mise à disposition d'un
correctif", définit Nicolas Ruff, chercheur en sécurité auprès
d'EADS.
Il
n'existe pas de motivation unique au full-disclosure,
même si elle s'est longtemps voulue - et le demeure souvent
encore -, un moyen d'infliger un camouflet à un éditeur pour
le manque de sécurité de ses logiciels, ou pour alerter les
utilisateurs. Les vendeurs de solutions, il est vrai, n'ont
pas toujours été exempts de défauts. La divulgation publique
apparait parfois alors comme le dernier recours pour obtenir
d'eux qu'ils réagissent et/ou cessent d'appliquer la sécurité
par l'obscurité.
"Pour un éditeur de logiciel, les vulnérabilités sont largement
une extériorité. Elles vous affectent vous, les utilisateurs,
bien plus qu'elles n'ont d'impact sur lui. Un vendeur futé traite
les failles moins comme un problème logiciel, que comme une
question de relations publiques. Et donc si nous, la communauté
des utilisateurs, voulons obtenir des éditeurs qu'ils publient
des correctifs, nous devons faire en sorte que les vulnérabilités
soient bien plus qu'un simple sujet de RP", lâche le gourou
de la sécurité, Bruce Schneier.
La stratégie de sécurité par l'obscurité a ainsi encouragé plusieurs
divulgations publiques retentissantes. La dernière en date est
probablement celle qui a visé Cisco, même si la démonstration
du chercheur fut vite retirée sous la menace de poursuites.
"On se souvient encore de la vidéo sur Internet montrant les
intérimaires employés par Cisco arrachant des programmes les
pages se rapportant à la présentation de Michael Lynn sur une
faille dans IOS", rappelle Nicolas Ruff.
"Le
secret n'améliore pas la sécurité, il l'étrangle"
(B. Schneier - Couterpane)
|
La conséquence la plus évidente du full-disclosure pourrait
a priori être de faciliter le travail des pirates en leur donnant
des données exploitables pour concevoir des codes malveillants
et attaquer des cibles durant la fenêtre d'exposition. C'est-à-dire
avant la publication d'un correctif par l'éditeur.
"Le raisonnement qui est tenu est qu'en gardant les vulnérabilités
secrètes, on évite ainsi que les pirates ne mettent la main
dessus. [
] Mais cette position pose comme postulat que les
pirates ne peuvent pas découvrir par eux-mêmes des failles,
et que les éditeurs consacreront du temps et de l'argent à des
vulnérabilités secrètes. Aucune de ces deux hypothèses n'est
vraie. Les hackers ont prouvé qu'ils étaient assez compétents
en la matière, et le full disclosure est l'unique raison qui
pousse les éditeurs à corriger régulièrement leurs systèmes",
assène de nouveau Bruce Schneier.
Une autre pratique fait elle aussi l'objet de controverses :
la monétisation des vulnérabilités. La découverte est en effet
devenue un véritable enjeu commercial. Des sociétés de sécurité
comme TippingPoint et iDefense disposent ainsi de leur propre
programme permettant de rémunérer des chercheurs pour leurs
trouvailles. iDefense a récemment offert 8 000 dollars pour
toute faille dans Windows Vista ou Internet Explorer 7.
Toutefois, ces firmes à priori intègres, ne sont pas les seuls
acheteurs potentiels. Ainsi en septembre dernier, le chercheur
et créateur du projet Metasploit, HD. Moore, révélait avoir
été approché par un individu lui proposant entre 60 000 et 120
000 dollars pour chacune des vulnérabilités qu'il trouverait
dans IE. Une offre qu'il a bien entendu écartée.
"le
cycle de vie d'une faille est parfois quelque peu fantasmé"
(N. Ruff - EADS) |
"Les experts se trouvent donc confrontés à deux choix : soit
être rémunérés pour leur découverte, soit entrer dans les bonnes
grâces de Microsoft", interprète Nicolas Ruff, qui juge en outre
très improbable de voir se dérouler un mois du bug Vista, comme
la formule a déjà été déclinée sur Apple, les navigateurs et
les noyaux - et bien prêt de l'être pour les bases de données
Oracle.
La divulgation responsable telle que décidée d'un commun accord
entre certains éditeurs et des chercheurs est clairement une
mauvaise idée pour Bruce Schneier, qui insiste : "Le secret
empêche les gens d'évaluer précisément leur propre risque. Le
secret exclut la discussion publique au sujet de la sécurité,
et inhibe l'éducation à la sécurité indispensable à son renforcement.
Le secret n'améliore pas la sécurité, il l'étrangle."
Selon Nicolas Ruff, "la réalité est sensiblement biaisée. Quand on
regarde les honeypots, on s'aperçoit que la majorité des attaques est en
fait de type brute force SSH ou sur des failles PHP [...] J'ai l'impression que le cycle de vie d'une faille est
parfois quelque peu fantasmé. On a très rarement la concrétisation,
ou du moins nous en entendons très peu parler. Il est rare que
des affaires remontent à la surface."
"J'ai le sentiment qu'il y a deux mondes, un premier d'un Internet
qui connait finalement peu d'attaques, dans lequel les failles
même publiques ne débouchent pas forcément sur des exploits.
Et un second monde, d'attaques ciblées, de canaux cachés, peut-être
le fait d'Etats comme la Chine ou les Etats-Unis, mais dont
finalement on ne parle strictement jamais", conclut-il.
|
|
|