Secu
Responsabiliser les éditeurs face aux failles de leurs logiciels
Par La rédaction, publié le 21 janvier 2013
Aujourd’hui, la recherche de trous de sécurité n’est plus uniquement la préoccupation des éditeurs, mais également celle d’experts pas toujours très bien intentionnés.
Depuis quelques années, une micro-industrie se développe, dont le but est de décortiquer les grandes applications du marché en vue de déceler des vulnérabilités inconnues. On parle de failles Zero Day. Mais malheureusement, l’intention n’est pas toujours louable. Si certains œuvrent à remonter le fruit de leur travail aux éditeurs, d’autres se refusent à le faire gratuitement et proposent de revendre leur découverte au plus offrant.
Une vente au marché noir
Certains mettent directement les codes d’exploitation en vente au marché noir. Il existe même, en Chine, des salons dédiés à la vente d’armes numériques. D’autres, enfin, révèlent publiquement les vulnérabilités sans prévenir. On parle alors de full disclosure. L’objectif, ici, est de provoquer les éditeurs en les confrontant à leurs négligences. Au final, ces failles représentent un vrai fléau, puisqu’il n’existe, au moment où elles sont révélées, aucun correctif. Et là, il est difficile pour une entreprise de maîtriser sa sécurité lorsque la menace lui échappe. C’est alors la responsabilité de l’éditeur qui est en jeu.
Des communautés pour contrer les dérives
Des groupes se sont formés pour tenter de redonner une éthique à cette recherche. Mais aussi pour responsabiliser les éditeurs et encadrer une éventuelle rémunération du chercheur. C’est ce que suggère Zero Day Initiative (ZDI), un programme fondé par l’éditeur de sécurité Tipping Point (racheté par HP en 2012). ZDI se propose de recueillir les failles découvertes et de mettre la pression sur les éditeurs avant qu’ils effectuent les corrections. Si, au bout de six mois, la vulnérabilité n’est pas corrigée, elle passe en full disclosure. Pourtant, des sociétés comme HP ou IBM dépassent largement la date limite imposée avant d’installer leurs corrections. Pas très rassurant ni, surtout, très responsable. Selon ZDI, des compagnies comme Adobe, Google et Mozilla ont mis en place des équipes dédiées à cette tâche.
Aaron Portnoy, cofondateur de ZDI et chercheur chez Exodus Intelligence
« Nous pressons les éditeurs pour qu’ils appliquent un correctif avant six mois »
Nous avons vu émerger des sociétés censées fournir des informations sur les vulnérabilités. Le problème est que les directives fournies étaient souvent incorrectes ou absentes. En effet, l’accent n’est pas mis sur la pertinence de l’information, mais surtout sur la quantité de données transmises. Pour des sociétés comme ZDI ou Exodus, l’objectif est de fournir aux utilisateurs des listes de vulnérabilités considérées comme exploitables, filtrées à partir d’une salve de failles découvertes et recensées. En outre, nous mettons la pression sur les éditeurs pour les contraindre à appliquer une correction dans un délai de six mois.