FireEye tente de museler les chercheurs de failles

Un chercheur en sécurité allemand a été obligé d’expurger sa présentation de failles dans les produits de FireEye lors d’une conférence à Londres. La firme américaine avait obtenu du tribunal allemand une injonction de ne pas dévoiler des informations relatives à sa propriété intellectuelle.

Décidément FireEye a quelques difficultés de communication avec les chercheurs en sécurité. En début de semaine, un hacker, Kristian Hermansen, expliquait sur Twitter avoir découvert pas moins de 4 vulnérabilités de type zero day dans les appliances de FireEye. Avec un autre spécialiste Rob Perris, ce ne sont pas moins de 30 failles qui ont été démasquées. Pour autant pas question de publier ces failles, les chercheurs sont plutôt dans une optique de les vendre pour forcer FireEye à mettre en place une politique de chasse aux bugs.

Car en matière de publication des brèches de sécurité, FireEye est plutôt tatillon et n’hésite pas à ester en justice. Felix Wilhelm en a fait récemment l’expérience. Ce chercheur en sécurité auprès du cabinet de conseil allemand ENRW a découvert 5 failles dans le système de protection antimalware MPS de la firme américaine. Comme il est d’usage dans l’industrie, ENRW a contacté FireEye en avril dernier pour l’informer des problèmes et prévoyait de publier un document sur ces failles à la fin d’une période de 90 jours pour que la société puisse les corriger.

Consensus, mise en demeure et injonction

Oui mais voilà, après examen de la notification d’ENRW, FireEye a considéré qu’elle contenait trop de détails techniques sur le fonctionnement interne de la solution MPS. Face aux tensions entre les deux sociétés, Enno Rey le fondateur d’ERNW a tenté de trouver un accord comme il l’explique dans un blog. Une rencontre a donc eu lieu à Las Vegas le 5 août dernier en marge des conférences Black Hat et Defcon où un consensus avait semble-t-il été trouvé. Et bien non, le lendemain le dirigeant reçoit une lettre de mise en demeure pour interdire la divulgation de la propriété intellectuelle de FireEye. Plus fort encore, avant qu’ERNW écrive sa réponse, la firme américaine obtient le 13 août dernier une injonction du tribunal de Hambourg pour interdire la divulgation de tout élément lié à la propriété intellectuelle de FireEye.

Felix Wilhelm a présenté le fruit de ses travaux à l’occasion de la conférence 44CON à Londres (10 et 11 setepmbre). La version dévoilée a été passablement expurgée pour se conformer à la décision de justice. Une méthode un peu cavalière dans le monde de la sécurité où traditionnellement les chercheurs ne sont pas poursuivis pour leurs travaux, mais plutôt encouragés, voire récompensés.

Nos confrères de Computerworld ont interrogé Vitor C. De Souza, responsable de la communication de FireEye qui a expliqué que la société « n’avait aucune intention de bloquer ERNW dans la discussion publique des vulnérabilités. Mais nous ne sommes pas disposés à exposer des données propriétaires qui comporteraient un risque pour l’entreprise et nos clients. Selon le droit allemand, elle n’était pas autorisée à divulguer de la propriété intellectuelle qui ne lui appartenait pas ». FireEye a publié le 8 septembre un bulletin de sécurité pour annoncer la disponibilité des correctifs pour ces vulnérabilités.

FireEye, Microsoft et consorts identifient un vaste réseau de cyberespionnage chinois