Search Results

« Si j’avais émis une alerte en suivant les canaux traditionnels, personne ne m’aurait écouté » avait déclaré en substance Tavis Ormandy lors de la divulgation de la faille help center protocol . Faille depuis « contournée » mais pas corrigée. D’ailleurs, comme pour donner raison à Ormandy, les équipe sécurité ont tout d’abord minimisé la dangerosité de la découverte, expliquant à qui voulait bien l’entendre que l’accès physique à la machine cible était nécessaire pour que l’attaque fonctionne.

Depuis, des exploitations distantes de ladite faille sont apparues, et seraient même en nette progression, particulièrement en Espagne et en Russie nous apprend Holly Stewart du MMPC. Il semblerait en effet qu’un exploit se soit rapidement répandu à partir du 21 du mois dernier. Du coup, la faille d’Ormandy passe du statut de « broutille insignifiante découverte par un pinailleur technoïde » au rang envié de « catastrophe catastrophique divulguée par un dangereux irresponsable ».

En réaction à ces propos, un groupe d’habitués de la liste Full Disclosure réplique en fondant le Microsoft-Spurned Researcher Collective (dont les initiales, MSRC, rappellent celles du Microsoft Security Response Team). Le but de ce MSRC là (l’autre !)est de publier, par mesure de rétorsion, toute faille que découvrirait un de ses membres. Les hostilités sont ouvertes le 30 juin et semblent indiquer qu’il se prépare un été relativement chaud dans le plus pur style du Month of Microsoft Bug .

Les tords sont partagés. Les réactions épidermiques de ces deux MSRC ne sont que le reflet de frustrations humaines, relativement éloignées des efforts respectifs que prodiguent à la fois les développeurs de Microsoft pour intégrer à Windows SDL et chasse au bugs, et d’autre part les chercheurs indépendants qui, à de très rares exceptions, respectent une certaine politique morale de divulgation (même si ce n’est pas toujours celle souhaitée par Microsoft). Il est sur le marché des éditeurs considérablement plus amoureux du secret et du non-dit qui mériteraient 1000 fois plus les foudres d’un tel response team.

Une série de failles exploitables à distance découvertes par Tavis Ormandy (Google) dans les antivirus Symantec et Norton . Au mieux, un heap overflow sous Unix/Linux, au pire une corruption mémoire sous Windows au niveau du noyau en Ring zéro

Tavis Ormandy, dans le cadre du « projet Zero » du Google Security Team, poursuit sa chasse aux failles dans les produits Kaspersky . Sourires crispés et remerciements de la part de l’éditeur d’antivirus

Ça buzze de l’autre côté de l’ex-rideau de fer. Il y a quelques jours déjà, un article de l’agence Reuters accusait Kaspersky d’avoir trompé certains de ses concurrents en faisant en sorte que leurs outils détectent des virus là où il n’y en avait pas. Lorsqu’un antivirus provoque un « faux positif », cela se fait en général au détriment de quelques fichiers placés, au mieux, en quarantaine, au pire, détruits, selon les réglages du logiciel de protection périmétrique. Déjà, dans les années 80, des tentatives d’injection de signatures (sans la moindre charge destructrice) avaient fait l’objet de diffusions sauvages, sans que l’on n’ait jamais très bien pu situer la source. Mais de là à imaginer un acte de sabotage délibéré dans le but d’éliminer ou affaiblir la concurrence, il y a une certaine marge.

Piqué au vif, Kaspersky nie énergiquement au fil d’un long billet de blog, faisant remarquer que les seules sources dont Reuters peut se prévaloir sont, d’une part, un « informateur anonyme » qui n’apporte pas franchement de preuves directes, et une expérience effectivement conduite par les laboratoires de Kaspersky et portant sur l’influence mutuelle d’une détection de signature dans le cadre d’un moteur « multi-AV » tel que Virus-Total. Expérience qui n’a effectivement que valeur de test et non d’attaque en règle. D’ailleurs, la pratique est assez répandue, confirme Boris Sharov, patron de DrWeb, le principal concurrent de Kaspersky en Russie. Fabriquer du « faux positif », explique-t-il à Brian Krebs, a permis de comprendre comment certains concurrents enrichissent leurs bases de signatures en se reposant en partie sur la réaction des produits concurrents. A ce jeu de l’imitation, le moindre défaut d’un des joueurs entraîne tous ses partenaires à commettre la même erreur.

A l’exception des fameux fichiers « Eicar » spécifiquement destinés à vérifier le bon fonctionnement d’un logiciel de filtrage, il ne devrait exister aucun autre « faux positif intentionnel diffusé dans la nature ». Et c’est en se reposant sur cet axiome que quelques éditeurs préfèrent « suivre » le travail de leurs concurrents, économisant ainsi une certaine dose d’énergie dans la recherche et l’analyse de charges de destruction logicielles.

Cette histoire rappelle un peu l’affaire des commandes « AT » destinées à paramétrer les modems dans les années 80. Ce préfixe AT avait pour but de prévenir l’équipement de communication que tout ce qui allait suivre s’adressait à lui à des fins de réglage et ne devait pas être transmis. Certains fichiers de commandes AT facilitaient d’ailleurs plusieurs opérations de tests et de contrôle de bon fonctionnement. Or, l’inventeur de ce jeu de commandes, Denis Hayes, constatant que beaucoup de ses concurrents ne versaient pas les droits de propriété intellectuelle liés à son dépôt de brevets, a discrètement diffusé un jour un « fichier de test » destiné à bloquer le fonctionnement de l’équipement si celui-ci n’intégrait pas le jeu d’instruction original. Les clones en furent pour leurs frais.

Mais l’image de marque de Denis Hayes a irrémédiablement été ternie par ce qui a été considéré comme un véritable acte de cyber-vandalisme. Destruction relative, car un simple « reset » suffisait à rétablir le fonctionnement des modems « ATéifiés ». Pourrait-on imaginer qu’un éditeur, d’antivirus ou autre programme de sécurité, puisse commettre un impair comparable ? En Europe, c’est peu probable. Il n’en demeure pas moins que cette aventure replace sous les feux de la rampe l’absence de confiance mutuelle dont peuvent parfois faire preuve les éditeurs dans ce secteur, et le fait que les antivirus « intelligents » (heuristiques disent les savants) qui ne reposeraient plus du tout sur de simples fichiers de signatures appartiennent encore au domaine du rêve technologique.

Mais l’histoire ne s’arrête pas là. En début de semaine, Tavis Ormandy, chercheur réputé chez Google, affirmait avoir découvert une faille autorisant un accès distant/exécution à distance… dans le code des antivirus Kasperky. Affirmation clamée sur Twitter et adressée à Ryan Naraine (lequel travaille précisément pour le compte de Kaspersky). Certains commentateurs s’en offusquent, ainsi Graham Clueley, qui, durant les quelques 3 dernières décennies, a émargé chez les principaux éditeurs d’antivirus britanniques (Dr Solomon, Sophos). Reste qu’Ormandy a mis le doigt sur un défaut quasi mythique, le fameux « trou généralisé » qui pourrait transformer un antivirus en un formidable botnet. Et ça, ça peut faire fantasmer toute la planète SSI et décrocher la première page des journaux. Ne paniquons pas pour autant, car si Ormandy a clamé sa découverte publiquement, les détails techniques n’ont pas été dévoilés.

Kaspersky n’est probablement pas le pire des éditeurs en matière de code sécurisé. Ce que Tavis Ormandy a découvert pourrait bien inspirer d’autres chercheurs, sur d’autres moteurs d’AV. La perfection n’étant certainement pas du monde de l’écriture de code, l’on pourrait bien assister dans les mois qui suivent à un petit festival de trous critiques, tous liés à des outils de défense périmétrique.

Chaque année, le traditionnel P0wnie Award est attribué pour récompenser quelques chercheurs, établir un podium des plus belles failles de l’année et surtout placer sous les feux de la rampe quelques redoutables « loupés » de l’industrie. La cérémonie se tiendra traditionnellement l’avant-dernier jour de la Black Hat de Las Vegas.

Parmi les sélectionnés, dans la catégorie Epic Fail, on remarquera le U.S. Office of Personnel Management, pour sa « fuite du siècle », et Ashley Madison parce qu’un trou de sécurité peut aussi être coquin. A noter également Shellshock dans le rôle du « most overhyped bug », Eset pour un superbe bug « client side » découvert par Tavis Ormandy, Ret2dir, une nouvelle technique d’exploitation au niveau noyau, Blue Coat, Seagate et Samsung qui visent le prix de la « pire réponse donnée par un constructeur »… la liste est longue et pleine de souvenirs.

A moins d’avoir passé les 15 derniers jours dans la caverne de Platon, l’homme du siècle s’est ému au rythme des annonces concernant le bug bash Shellshock. Le dernier soubresaut était celui d’Apple qui vient d’annoncer, sans la moindre précision aucune (histoire de préserver la tradition) la publication des correctifs pour Maverick, Mountain Lion et Lion.

Mais, pour un utilisateur Apple non technicien, le laconisme du bulletin d’alerte ne confirme en rien le colmatage de l’intégralité des trous Shellshock et défauts secondaires liés. Car, toujours durant ces 15 derniers jours, les tortureurs de code (tels que Michal Zalewski, Tavis Ormandy ou Florian Weimer) se sont lancés dans une quête du Graal visant à débusquer le moindre défaut. Du coup, le nombre de CVEs déclarés a subit une rapide inflation. Shellshock désigne désormais CVE-2014-6271 (l’originel), CVE-2014-7169 (l’imparfait du patch), CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 et CVE-2014-6278 (les derniers découverts). Un trou, six alertes, chacune ne représentant pas le même indice de dangerosité, loin s’en faut.

Fort heureusement, Michal Zalewski s’est lancé dans une revue de détails de tous ces trous officiels. Johannes Ullrich, du Sans, est allé jusqu’à monter une petite séquence vidéo d’explication, avec un support « papier virtuel » disponible sous forme de fichier pdf ou de podcast . Les explications sont claires, relativement techniques, but in english. Ceux pour qui ce genre d’intervention fait grincer des Molières* peuvent se reporter sur la baladodiffusion en Français, réalisée par No Limit Secu, avec la participation de Nicolas Ruff, Nicolas Prigent, Jean-François Audenard et Johanne Ulloa.

Ces explications demeureront totalement cryptiques pour la majorité des êtres humains normalement constitués, lesquels se poseront encore et toujours la question « Ais-je bien appliqué la bonne rustine, le problème bash est-il résolu ? ». Chaque jour qui passe fait de Shellshock un proche-parent des séries B américaines, qui plonge le lecteur dans les affres du plus pénible des suspens et lui fait attendre avec impatience la parution du prochain épisode.

*NdlC Note de la Correctrice. Tiens, j’ai crû voir passer Boby Lapointe. Ca faisait longtemps

Cédric Blancher revient sur la joute oratoire (épistolaires plus exactement) qui oppose Sophos, le Britannique éditeur d’antivirus et Tavis Ormandy. Un chercheur qui travaille au sein de l’équipe sécurité Google faut-il le rappeler, et qui avait, par le passé, déjà pondu quelques mémorables couplets dénonçant les inconsistances de cet outil de protection. Des inconsistances qui pouvaient constituer un point de faiblesse dangereusement exploitable, un comble pour un outil de sécurité informatique.

Une divulgation de faille qui provoque chez Sophos une réaction plutôt conciliante et qui peut se résumer ainsi : on aime nos clients et faisons tout ce qui est en notre possible pour colmater les défauts de nos produits, on aime Tavis Ormandy car son travail nous aide à colmater les défauts de nos produits… une copie conforme et anonyme (car signée au nom de l’équipe) de la réponse rédigée il y a un an par Graham Clueley à l’occasion de la précédente sortie d’Ormandy.

Remarquons au passage que, parmi les « victimes » des papiers d’Ormandy, certains ne le prennent pas toujours avec autant de bonne volonté. Microsoft, par exemple, a longtemps eu un certain « bug du fichier Help » en travers du compilateur. Sans parler d’autres éditeurs bien plus expéditifs qui dégainent leurs avocats et poursuivent les chercheurs en justice avant même de comprendre ce qui justifiait la publication de ladite recherche.

L’attitude est louable sans doute, mais ce n’est pas franchement assez, estime Cédric Blancher. Si Errare humanum est, perseverare est sacrément diabolicum. Bref, les promesses d’efforts de consolidation sont quasiment restées lettres mortes, ou donnent l’apparence de l’être.

Et « Sid » Blancher, prudent et objectif, de préciser que cette mercuriale visant Sophos ne dédouane pas particulièrement les éditeurs concurrents. Rien ne dit que des problèmes au moins aussi graves n’affectent pas ces logiciels. Depuis près de 10 ans, Thierry Zoller attire également l’attention sur des failles abyssales affectant la quasi-totalité des antivirus et sur la fragilité (voir l’absence totale) de mécanismes de contrôles associés aux outils de mise à jour automatique que l’on rencontre sur bien des programmes. Autant de failles, autant de risques de « botnétisation » d’un réseau de mise à jour provoquées généralement par des contrôles imparfaits de certains fichiers, ou la possibilité d’utiliser certains fichiers pour compromettre l’antivirus lui-même (précisément ce que démontre Ormandy ces jours-ci).

Qu’un antivirus soit faillible et laisse passer des vecteurs d’infection dont la signature n’est pas encore connue, passe (sic) encore. Qu’un antivirus constitue lui-même un point vulnérable dans les défenses périmétriques, cela est moins admissible. Qu’une fois ses concepteurs avertis sur des problèmes de conception ou d’architecture, ce même antivirus présente d’autres défauts encore liés à des problèmes de conception ou d’architecture et la pilule devient franchement amère. Mais qui, à part le microcosme geekesque du monde de la sécurité, se plonge avec attention dans les œuvres complètes de Tavis Ormandy ou de Cédric Blancher ? De quoi relativiser l’importance que l’on donne à la divulgation des failles de sécurité, que cette divulgation soit « full », raisonnable, responsable, collaborative ou sauvage.

Alors que les hordes de vacanciers contestent aux vaches Abondance le droit de brouter ou aux bigorneaux le plaisir de bigorner en paix, les spécialistes et gourous de la sécurité se pressaient dans les salles de conférence de Las Vegas, pour assister à la Mère de toutes les conférences de sécurité : les manifestations jumelles Black Hat/Defcon. Et à lire certains comptes rendus, l’on se dit que côtoyer les vaches Abondance ou les bigorneaux a quelque fois du bon pour la paix de l’esprit. Faire la moitié du tour de la terre pour des choses déjà entendues ou pressenties lors des précédentes conférences Hackito Ergo Sum, SSTIC ou CanSecWest, on ne m’y reprendra plus, résume en substance Cedric Blancher dans un billet à la Edgar Poe : BH, Never more !

D’ailleurs, le « scoop » de cette année, celui qui a remporté la couverture des tabloïds de la sécurité, a plus des airs de règlement de compte gratuit que de POC tiré par les cheveux. Il est signé par un monsieur réputé et sérieux, Tavis Ormandy, qui a souhaité cette année rhabiller de la tête aux pieds l’antivirus de Sophos. Les journaux américains comptent les points et pour une fois, le bouillant Graham Clueley, pourtant réputé pour ses envolées lyriques et ses excès sémantiques, adresse à Ormandy un billet dont le fiel est tout entier contenu dans l’understatement des tournures utilisées. Ces deux textes résument à eux seuls l’âme de ces deux pays qui partagent une langue commune et ne sont pas séparés que par un océan. Rappelons simplement que les propos de Tavis Ormandy ne sont que la transposition sur un thème particulier de l’air que chante chaque année la réunion annuelle Française iAwacs : les antivirus, commerciaux ou non, ne sont pas mieux conçus que des logiciels bureautiques ou des systèmes d’exploitation, loin s’en faut. Des trous, ils en ont, tout autant que les « autres » logiciels. Et certains d’entre eux sont éminemment dangereux car ils se situent dans les couches basses du noyau. Tout au plus peut-on leur reconnaître que la couche d’ingénierie marketing qui les entoure pourrait à elle seule faire l’objet de tests comparatifs édifiants. De tous les messages de Sophos vs celui de Kasperky vs celui de McAfee (ce ne sont là que des exemples), lequel résiste-t-il le mieux aux attaques verbales et aux propos calomnieux de tel ou tel expert ?

Mais est-il nécessaire de parcourir plusieurs milliers de kilomètres pour écouter s’enfoncer de telles portes ouvertes ? Que Nenni ! affirme Security4All, qui nous explique comment tout savoir de la Defcon et de la BH sans quitter ses charentaises. Et de nous offrir une belle brochette de feed Twitter, de fils RSS, de liens Flicker et autres agrégateurs divers qui nous en apprendront bien plus sur ces deux manifestations que ne pourront en savoir ceux qui y participent. Ah, si Fabrice Del Dongo avait connu Facebook, sa vision de Waterloo en eût peut-être été changée.

Sinon, il y a toujours les bonnes vieilles adresses. Celles des blogueurs professionnels, tels que les membres de l’équipe de Kaspersky qui écrivent billets sur billets à peine une conférence est-elle terminée. Ou nos petits copains de Network World, qui reviennent sur les grands marronniers qui sont du bois dont on fait les keynotes : « La leçon des Anonymous : la sécurité des entreprises coince velu »… Tiens, on aurait pourtant crû que la leçon des Anonymous, c’était que la « professionnalisation » de la cyberdélinquance n’avait pas « remplacé » la petite délinquance, mais l’avait simplement occultée momentanément. Jusqu’à ce que l’on se rende compte qu’elle pouvait frapper fort. A force de se défendre contre des malfrats tâcherons de l’attaque ciblée visant des retours sur investissement rapides, on avait presque oublié l’acte revendicatif et gratuit. Mais çà, on n’en a pas parlé, à la Black Hat. Ou du moins pas durant les Keynotes, car cela aurait peut-être provoqué quelques remises en question.

Encore une URL pour Defconiser et BlackHatiser derrière son écran : celle du toujours excellent Security News, dont les comptes rendus neutres et exhaustifs donnent sinon le ton, du moins le contenu. Et une petite dernière pour la route, la vraie, celle qui se prolonge après le « Strip » de Las Vegas, s’enfonce dans le désert et les verticales des Red Rocks ou les berges du lac Tahoe. Celle-ci nous est offerte par Tristan Nitot, de la Fondation Mozilla Europe, qui a tout ignoré de Vegas mais a tout retenu de ses environs, façon Easy Rider.

Un bilan très positif donc : BH et Defcon ne sont plus le centre du monde. Certes, il s’agit là toujours d’une étoile double de grande magnitude, mais qui ne brille pas plus qu’un CCC Camp, qu’un Hackito, qu’un CanSecWest ou qu’un Sstic. Cela ne veut toutefois pas dire « n’y vas pas, j’ai les mêmes à la maison ! ». Car si l’éclat d’une conférence en particulier ternit légèrement, il s’en trouve d’autres, en Amérique du Sud, en Asie, en Allemagne, au Luxembourg qui sont autant de lieux d’échanges et de confrontations nécessaires à la profession. Le déclin d’une étoile ne donne pas toujours un trou noir.

La prochaine et très attendue conférence parisienne Hackito Ergo Sum se tiendra du 7 au 9 avril 2011. L’appel à communications est lancé et s’achèvera le premier mars prochain. Les articles seront visés par un comité de lecture impressionnant, parmi lequel on remarque les noms de Tavis Ormandy, Barnaby Jack, Dino A. Dai Zovi, Raoul Chiesa, David Litchfield, Jonathan Brossard, Nicolas Ruff et bien sûr Matthieu Suiche et Philippe Langlois.

HES n’est pas seulement un cycle de conférences orientées sécurité. C’est aussi un lieu de rencontres et de partages techniques, de vulgarisation des techniques parallèles aux mondes du développement et de l’informatique, un observatoire technologique et sociologique de l’évolution du hacking (au sens « maîtrise technique » du terme). La première édition, qui s’était déroulée l’an passé au cœur du quartier des antiquaires, à Saint Ouen, avait fait salle comble.

Les thèmes abordés iront du monde des réseaux aux vulnérabilités des architectures Scada, sans oublier les traditionnelles conférences sur les failles conceptuelles liées à la programmation, les nouveaux outils d’écoute des réseaux sans fil (dont les évolutions de GnuRadio) etc. Bien sûr, un HES sans concours « capture the flag » ne serait pas un HES… un ctf « réseau » et un concours de crochetage de serrures sont à prévoir.

Mais plus que des histoires de « responsabilité » face à des hordes potentielles de pirates cachées derrière chaque publication de faille, le véritable problème de la divulgation « full, responsable ou coordonnée », c’est avant tout une histoire d’argent.

A quelques ZDI près, rares étaient autrefois les gens capables de payer honnêtement les chercheurs en sécurité découvrant une vulnérabilité. Situation qui donnait à ces derniers le droit moral d’utiliser à leur guise le fruit de leur travail : « J’ai trouvé, je ne suis pas payé de mes efforts, je fais donc ce que bon me semble de mes découvertes, et si possible sous forme de publicité pour le compte de mon entreprise ». Argument souvent suivi d’un « si vous souhaitez en savoir plus ou obtenir un PoC fonctionnel, payez moi ou laissez-moi tranquille, et estimez-vous heureux que je n’ai pas déjà vendu mes découvertes à quelque cyber-truand Russe, Chinois ou Brésilien ». A quelques variantes près, l’on a pu lire ces propos sous la plume de http-equiv, Paul de Greyhat (avant sa conversion), Joanna Rutkowska, les frères Lietchfield…

Cette attitude s’est d’autant plus développée que la cyberdélinquance s’est, de son côté, fortement professionnalisée. Tant que l’auteur de virus était un égomaniaque radical cherchant la gloire derrière un Bosach ou un Whales, les chasseurs de failles appartenaient à une caste élitiste aussi fermée que désintéressée, travaillant pour la gloire et pour des prunes . Mais, depuis une petite dizaine d’années, une faille, ça se vend aux enchères, çà s’intègre dans des « kits de fabrication de malwares », tant et si bien que la fourniture en bugs frais est devenue la principale source d’énergie de tout le système économique de la mafia cybérienne ainsi que des services de police, de renseignement et des techno-armées du monde entier. Si l’on paye du côté obscur ou gris-muraille de la force, pourquoi les « white hats » ne seraient-ils pas également rétribués ?

Cet argument, certains éditeurs l’ont compris. A commencer par le ZDI, qui non seulement rétribue les chercheurs, mais en outre leur sert de paravent juridique en cas de retour de flamme de l’éditeur faillible (car certains peuvent se montrer très hargneux). Puis sont arrivés les Mozilla Foundation avec une prime de 3000 $ par « gros » bug, Google, avec une prime de 1337 $ portée récemment à 3137,70 $. D’autres sont plus discrets, mais sont bien présents si l’on en juge par le nombre de communications rédigées, par des indépendants « on behalf of the Check Point Vulnerability Discovery Team ».

Question d’argent également chez les éditeurs. Car colmater une brèche, cela n’a rien de gratuit. Il y a le prix du développement du patch, le coût de mise en place des mesures et des politiques futures pour que tout cela ne se reproduise pas (le SDL chez Microsoft ou la « sandbox » d’Adobe, par exemple), le coût de gestion de l’infrastructure d’un Response Team, celui aussi des outils de déploiement, des plateformes de test de régression, sans oublier le prix de l’impact sur l’image de marque… chez les éditeurs, la sécurité n’est pas un « centre de profit », c’est un « département de limitation des pertes ».

Question d’argent enfin, à propos de l’évolution de la mode « prime au trou » dans un proche avenir. Beaucoup s’interrogent « Quand donc Microsoft publiera-t-il un barème de ses propres « bug’s bounty» »? Que le numéro 1 du logiciel suive l’attitude de Google ou de Mozilla, et une bonne partie de la profession suivra. Adobe et Sun (ou IBM) notamment, suivi par Cisco, Apple et autres têtes d’affiche dont les noms font les gros titres des communications Defcon, Hitb, CCC etc. Car tôt ou tard, Steve Ballmer sera contraint de rétribuer les chasseurs de bugs. On ne peut indéfiniment, critiquer, menacer, réglementer et imposer sa loi sur toute une profession sans participer à l’effort général de recherche prodigué par les « indépendants ». Dans le cas contraire, le risque serait de voir cette richesse passer, tant par dépit que par réalisme financier, entre d’autres mains, peut-être moins scrupuleuses. Le temps n’est plus où la découverte d’une faille était affaire de geek. C’est aujourd’hui un véritable marché, un business qui intéresse non seulement les truands de tous bords et des barbouzes de tous poils, mais également les concurrents qui, peu à peu, utilisent la divulgation comme une arme marketing. Le précédent « bug Ormandy » expédié tel un direct du gauche par Google dans le foie de Microsoft, ou le sympathique uppercut de Comodo dans l’estomac de Verisign le prouvent : on s’envoie désormais des gentillesses par faille interposée. Au prix de la page de réclame sur le Washington Post, un trou profond et bien faisandé remplace une bonne campagne de publicité comparative.

Se développe en outre un business de l’exploit à destination des professionnels de la sécurité. Le Français Vupen, par exemple, qui annonçait il y a quelques jours la découverte de la première faille Office 2010 « réservée aux souscripteurs du service ». En vertu de quel principe un Microsoft –ou tout autre éditeur- bénéficierait-il gratuitement du travail d’une telle entreprise, sous prétexte que le « trou » lui appartient ? Cela poserait d’ailleurs un problème moral à ce vendeur d’exploits. Admettons –pure spéculation de notre part- qu’un Vupen ou consort vende très cher à une DCRI, Direction Centrale du Renseignement Intérieur, quelconque un moyen de surveiller une horde de cyberpédophiles pratiquant l’espionnage industriel et la publication d’opuscules sur l’art de fabriquer des bombes, par exemple. Quelle serait l’attitude de ce client s’il apprenait que, 12 heures après l’achat de cette faille, ces mêmes poseurs de bombe apprenaient sur le Technet l’existence d’un exploit « in the wild » sur Office, le tout accompagné des mesures de contournement idoines ? Car il semblerait que truands comme hommes du monde lisent indifféremment les alertes des éditeurs.

Bug business is big business. Un business que l’on a trop souvent masqué derrière une imagerie d’Epinal simpliste : des « gourous sécu » désincarnés perdus dans leurs recherches et incapables de comprendre la dure réalité du monde des affaires. Des « méchants » attendant patiemment que tombent du « full disclosure » les recettes d’infection. Des éditeurs luttant pour la sécurité de leurs clients terrorisés (car l’on parle de terrorisme pour qualifier certaines publications). Des hackers-fous incapables de comprendre que l’informatique est avant tout un outil de travail. Des « gentils chercheurs » se battant pour que la vérité triomphe, sortant, belle et nue d’un monceau de bugs et d’un trou sans fond. Non, le business de la faille, quel que soit le bord depuis lequel il est considéré –éditeur, chercheur, client, policier, cybertruand- est un véritable business. Il doit, comme tel, se doter d’un cadre normatif indépendant de toutes les parties en présence, et accepter qu’aucune des parties ne soit lésée et considérée comme quantité négligeable ou inféodée.