Dan Kaminsky ou l'art de la critique savamment dosée

Olivier Robillart,

Le chercheur-expert en sécurité, découvreur de la faille DNS l’été dernier était en « guest-star » du rendez-vous de la presse et des responsables de Microsoft. Éclairage sur le nouveau « winner » de la vulnérabilité.

Redmond– Teint pâle, lunettes de soleil vissées sur la tête malgré le froid quasi polaire et la neige fraîche de la côte ouest-américaine, Dan Kaminsky arrive. Du fond de la salle de conférence il arbore un T-shirt d’un style on ne peut plus « geek » et attend son heure de passage en dévorant un morceau de pizza.

Sa présentation : un soutien de la « méthode Microsoft » des mises à jour mais aussi une réelle critique du système général guidant le monde de la sécurité informatique. Coup de projecteur sur la « star » actuelle des failles inconnues.

Il commence sa présentation devant un parterre de journalistes européens visiblement ravis de le rencontrer, certains pour la première fois. Dan Kaminsky annonce la couleur : « Dès mon arrivée sur les terres Microsoft j’ai trouvé rapidement deux bugs que l’on pourrait qualifier de sérieux sur Vista ».

Dès lors, l’expert dévoile sa position sur le monde de la sécurité et son agacement face au retard que prennent les développeurs face aux pirates. « Il n’existe rien de pire que d’éditer un patch et de le diffuser puis que quelqu’un vienne ensuite vous dire – attends je crois que tu as oublié cette faille énorme dans ton système. Tout tombe à plat et le travail est à refaire… »

Continuant son explication dans un style direct et totalement différent de celle des responsables de Microsoft, il poursuit : « pourquoi a-t-on des failles béantes ? Parce que cela prend un temps considérable de les corriger. Je considère l’équilibre du temps ainsi – et je pense que je ne suis pas le seul- quand les développeurs mettent deux ans à construire un patch, les pirates mettent deux semaines à le casser« . L’expert américain fait alors référence au double niveau entre « bons » et « mauvais » qui contribue à tronquer le jeu de la sécurité.

Dan Kaminsky, dans un style que l’on pourra qualifier de « cool », poursuit : « lasécurité est une question d’organisation et de technique pas d »intelligence ni vraiment d’attitude. Le monde de la sécurité tel qu’il fonctionne actuellement montre comment on sécurise après coup, c’est-à-dire avec le moins de retard possible. Et pour l’avenir, comment fait-on ? Windows Update possède au moins un intérêt : celui de fournir une solution le plus largement possible à un nombre élevé d’utilisateurs. En réduisant le temps entre l’exploit et le correctif on limite de manière considérable le retour sur investissement des pirates. Leurs codes ne restent pas très longtemps sans parades…« .

Kaminsky évoque là l ‘épisode de la faille DNS par laquelle il s’est fait connaître du monde de la sécurité informatique. Révélée en juillet dernier, elle a contribué à faire éclore chez certains éditeurs et grandes firmes un vent de panique quant à la sécurisation effective des réseaux.

Utilisant, un défaut de taille dans la cuirasse du DNS, le système central qui met en relation les adresses des sites et les pages stockées sur des serveurs, c’est t out le réseau mondial d’Internet qui a pris conscience du risque de voir des pirates s’emparer de l’ensemble du trafic. De fausses données DNS peuvent alors être insérées dans la cache d’un name-server. Un attaquant peut alors afficher une mauvaise réponse pour n’importe quelle requête et rediriger un internaute vers un site piégé à son insu.

Dan Kaminsky termine alors son show en souriant. Celui par qui la faille est arrivée repart tel qu’il est venu, comme un dernier de la classe que personne n’attendait vraiment. Un peu comme la faille DNS en somme.