Entre ‘Full-disclosure’ et ‘Full-exposure’, le coeur des pirates balance

Le ?full-disclosure’ est une invitation à la publication de l’ensemble des détails techniques relatifs à la découverte d’une vulnérabilité sans censure aucune. Les conséquences du ?full-disclosure’ sont multiples. La première, et la plus avancée par ses détracteurs, relève du bon sens : les détails techniques publiés peuvent, dans bien des cas, permettre aux pirates d’exploiter rapidement une vulnérabilité. Il est donc naturel de songer à ne pas divulguer des informations techniques qui favorisent ce comportement. Du moins, tant qu’un correctif n’est pas disponible.

Or, la censure de détails techniques relatifs à une vulnérabilité peut engendrer bien des dérives. Une véritable économie souterraine s’est développée autour de la recherche de failles. Des individus n’hésitent pas à acheter ou vendre les bons tuyaux. Des entreprises spécialisées rémunèrent désormais les chercheurs du dimanche qui mettent le doigt sur ces vulnérabilités tant convoitées. Ce phénomène est-il dangereux ? Oui, répondent certains. Imaginez-vous une vulnérabilité comme étant une clé. Chaque faille ouvre une porte sur un ou plusieurs systèmes informatiques. Imaginez qu’une seule personne au monde possède cette clé qui lui ouvre les portes de plusieurs centaines de milliers d’ordinateurs. Cette personne ne tient pas à partager cette clé, elle retient l’information qui lui a permis de construire ce passe-partout. Imaginez que parmi ces machines faillibles, il y a celle qui héberge votre comptabilité, votre CRM, votre facturation. Imaginez que cette personne sélectionne par hasard cette machine pour s’y introduire… Arrêtez d’imaginer maintenant. C’est la réalité. C’est le quotidien de la sécurité informatique. Cependant, ces détails qui mettent certains systèmes en péril, aident également bon nombre d’administrateurs et responsables sécurité compétents à appréhender les failles, à comprendre leurs mécanismes, et à en déduire les impacts sur le système vulnérable, sur l’organisation, et les ressources de l’entreprise à mobiliser le cas échéant. En somme, faut-il prendre un risque pour mieux connaître son ennemi ? Doit-on accepter les risques du ?full-disclosure’ ? Tout dépend donc de la manière dont est annoncée la faille L’usage veut que l’éditeur d’un logiciel incriminé par une vulnérabilité soit averti avant la publication officielle afin qu’il puisse avoir le temps de développer un correctif. Dans bien des cas, ce délais n’est malheureusement pas respecté. Ce manquement éthique est à l’origine de bien des virus et vers qui ont dévasté la toile. Deux arguments justifient cette attitude. Le premier est purement technique, le second est commercial et intéressé. Pour un pirate peu scrupuleux, le meilleur moyen de frapper fort est de s’engouffrer à travers la fenêtre d’exposition béante qui s’ouvre après la découverte d’une vulnérabilité encore inconnue du grand public. Le plus efficace des vers informatiques est celui qui s’attaquera donc à une vulnérabilité non corrigée qui affecte un nombre très important de machines. Pourquoi alors prévenir l’éditeur incriminé de ses découvertes ? Pour un pirate motivé et décidé à causer des dégâts, cela relève du non-sens. L’aube du ?vulnerability business’ Côté business, la découverte de vulnérabilités est devenue un enjeu commercial et marketing. Véritable vecteur de communication, l’alerte de sécurité ou « advisory » permet à de nombreuses entreprises de faire valoir leurs compétences et du même coup faire leur publicité. Certaines sociétés spécialisées s’adressent directement aux médias avant d’en toucher un mot à l’éditeur. Plus la faille découverte est importante, plus l’impact est grand. Plus les retombées médiatiques sont intéressantes. D’autres, sous le couvert du ?full-disclosure’, affichent sans vergogne les codes sources, glanés ça et là sur la toile, permettant d’exploiter les dernières vulnérabilités à la mode en quelques coups de GCC, sans oublier d’afficher au passage de la publicité rémunératrice tout en se targuant d’aider les RSSI à mieux sécuriser leurs infrastructures. Chaotique. Certaines sociétés commerciales ont récemment initié des programmes de rémunération visant à récompenser les chasseurs de failles via un système de crédit. C’est ainsi que 3COM a annoncé il y a quelques semaines le programme Zero Day Initiative qui n’est pas sans rappeler le VCP de iDefense. Si ces programmes ont pour but avoué d’améliorer l’état de la sécurité informatique, nous sommes en droit de garder un brin de scepticisme quand ils sont créés par une société commerciale, d’autant plus quand il s’agit d’un éditeur de solutions de sécurité ! Et que penser de sociétés comme Immunitysec qui ne récompensent pas les chercheurs mais revendent (parfois plus de 50.000 $) des listes de vulnérabilités encore inconnues à ses clients ? Alors quelles solutions ? Pour résumer le marché de la divulgation de failles fait appel à 3 types d’acteurs, aux motivations bien différentes. Les pirates, les chercheurs de failles et les éditeurs de solutions. Il est évident qu’un effort de sensibilisation envers les chercheurs de failles doit être mené. Il serait bon de réglementer la divulgation des détails techniques relatifs aux vulnérabilités. Il n’est pas question ici de censurer l’information mais de proposer un processus sain et échelonné dans le temps afin de prévenir toute dérive. A ce propos, il y a quelque temps, Marcus Ranum proposait une approche intéressante au ?responsible disclosure’. Dans un article publié sur son site Internet, Marcus proposait tout simplement la création d’un tiers de confiance spécialisé dans la gestion de divulgation de vulnérabilités. Il s’agirait d’une organisation indépendante, à but non-lucratif et indépendante de tout éditeur de solutions dont les missions principales seraient de découvrir et/ou recenser de nouvelles vulnérabilités ainsi que gérer la communication entre les chercheurs de failles et les éditeurs de solutions incriminées. Ceci implique un processus de notification et d’escalade mais également un processus d’évaluation de la criticité et de l’impact potentiel lié à l’exploitation d’une vulnérabilité, ceci pour éviter tout phénomène de surmédiatisation. La constitution d’une telle organisation est-elle possible aujourd’hui ? Nous en sommes encore loin mais cette proposition de Marcus Ranum a le mérite d’être responsable et très pertinente dans le contexte actuel du marché de la sécurité. ****** Rappelons que l’affaire TEGAM a vu la condamnation d’un chercheur français qui avait découvert des failles dans le logiciel anti-virus de Tegam et qui avait alerté la communauté informatique, après avoir prévenu l’éditeur français. Aurélien Cabezon pour Vulnerabilite.com