La bataille de la divulgation (Partie II) : Le nerf de la guerre

Actualités - Analyse - Posté on 28 Juil 2010 at 12:21 par Solange Belkhayat-Fuchs

Mais plus que des histoires de « responsabilité » face à des hordes potentielles de pirates cachées derrière chaque publication de faille, le véritable problème de la divulgation « full, responsable ou coordonnée », c’est avant tout une histoire d’argent.

A quelques ZDI près, rares étaient autrefois les gens capables de payer honnêtement les chercheurs en sécurité découvrant une vulnérabilité. Situation qui donnait à ces derniers le droit moral d’utiliser à leur guise le fruit de leur travail : « J’ai trouvé, je ne suis pas payé de mes efforts, je fais donc ce que bon me semble de mes découvertes, et si possible sous forme de publicité pour le compte de mon entreprise ». Argument souvent suivi d’un « si vous souhaitez en savoir plus ou obtenir un PoC fonctionnel, payez moi ou laissez-moi tranquille, et estimez-vous heureux que je n’ai pas déjà vendu mes découvertes à quelque cyber-truand Russe, Chinois ou Brésilien ». A quelques variantes près, l’on a pu lire ces propos sous la plume de http-equiv, Paul de Greyhat (avant sa conversion), Joanna Rutkowska, les frères Lietchfield…

Cette attitude s’est d’autant plus développée que la cyberdélinquance s’est, de son côté, fortement professionnalisée. Tant que l’auteur de virus était un égomaniaque radical cherchant la gloire derrière un Bosach ou un Whales, les chasseurs de failles appartenaient à une caste élitiste aussi fermée que désintéressée, travaillant pour la gloire et pour des prunes . Mais, depuis une petite dizaine d’années, une faille, ça se vend aux enchères, çà s’intègre dans des « kits de fabrication de malwares », tant et si bien que la fourniture en bugs frais est devenue la principale source d’énergie de tout le système économique de la mafia cybérienne ainsi que des services de police, de renseignement et des techno-armées du monde entier. Si l’on paye du côté obscur ou gris-muraille de la force, pourquoi les « white hats » ne seraient-ils pas également rétribués ?

Cet argument, certains éditeurs l’ont compris. A commencer par le ZDI, qui non seulement rétribue les chercheurs, mais en outre leur sert de paravent juridique en cas de retour de flamme de l’éditeur faillible (car certains peuvent se montrer très hargneux). Puis sont arrivés les Mozilla Foundation avec une prime de 3000 $ par « gros » bug, Google, avec une prime de 1337 $ portée récemment à 3137,70 $. D’autres sont plus discrets, mais sont bien présents si l’on en juge par le nombre de communications rédigées, par des indépendants « on behalf of the Check Point Vulnerability Discovery Team ».

Question d’argent également chez les éditeurs. Car colmater une brèche, cela n’a rien de gratuit. Il y a le prix du développement du patch, le coût de mise en place des mesures et des politiques futures pour que tout cela ne se reproduise pas (le SDL chez Microsoft ou la « sandbox » d’Adobe, par exemple), le coût de gestion de l’infrastructure d’un Response Team, celui aussi des outils de déploiement, des plateformes de test de régression, sans oublier le prix de l’impact sur l’image de marque… chez les éditeurs, la sécurité n’est pas un « centre de profit », c’est un « département de limitation des pertes ».

Question d’argent enfin, à propos de l’évolution de la mode « prime au trou » dans un proche avenir. Beaucoup s’interrogent « Quand donc Microsoft publiera-t-il un barème de ses propres « bug’s bounty» »? Que le numéro 1 du logiciel suive l’attitude de Google ou de Mozilla, et une bonne partie de la profession suivra. Adobe et Sun (ou IBM) notamment, suivi par Cisco, Apple et autres têtes d’affiche dont les noms font les gros titres des communications Defcon, Hitb, CCC etc. Car tôt ou tard, Steve Ballmer sera contraint de rétribuer les chasseurs de bugs. On ne peut indéfiniment, critiquer, menacer, réglementer et imposer sa loi sur toute une profession sans participer à l’effort général de recherche prodigué par les « indépendants ». Dans le cas contraire, le risque serait de voir cette richesse passer, tant par dépit que par réalisme financier, entre d’autres mains, peut-être moins scrupuleuses. Le temps n’est plus où la découverte d’une faille était affaire de geek. C’est aujourd’hui un véritable marché, un business qui intéresse non seulement les truands de tous bords et des barbouzes de tous poils, mais également les concurrents qui, peu à peu, utilisent la divulgation comme une arme marketing. Le précédent « bug Ormandy » expédié tel un direct du gauche par Google dans le foie de Microsoft, ou le sympathique uppercut de Comodo dans l’estomac de Verisign le prouvent : on s’envoie désormais des gentillesses par faille interposée. Au prix de la page de réclame sur le Washington Post, un trou profond et bien faisandé remplace une bonne campagne de publicité comparative.

Se développe en outre un business de l’exploit à destination des professionnels de la sécurité. Le Français Vupen, par exemple, qui annonçait il y a quelques jours la découverte de la première faille Office 2010 « réservée aux souscripteurs du service ». En vertu de quel principe un Microsoft –ou tout autre éditeur- bénéficierait-il gratuitement du travail d’une telle entreprise, sous prétexte que le « trou » lui appartient ? Cela poserait d’ailleurs un problème moral à ce vendeur d’exploits. Admettons –pure spéculation de notre part- qu’un Vupen ou consort vende très cher à une DCRI, Direction Centrale du Renseignement Intérieur, quelconque un moyen de surveiller une horde de cyberpédophiles pratiquant l’espionnage industriel et la publication d’opuscules sur l’art de fabriquer des bombes, par exemple. Quelle serait l’attitude de ce client s’il apprenait que, 12 heures après l’achat de cette faille, ces mêmes poseurs de bombe apprenaient sur le Technet l’existence d’un exploit « in the wild » sur Office, le tout accompagné des mesures de contournement idoines ? Car il semblerait que truands comme hommes du monde lisent indifféremment les alertes des éditeurs.

Bug business is big business. Un business que l’on a trop souvent masqué derrière une imagerie d’Epinal simpliste : des « gourous sécu » désincarnés perdus dans leurs recherches et incapables de comprendre la dure réalité du monde des affaires. Des « méchants » attendant patiemment que tombent du « full disclosure » les recettes d’infection. Des éditeurs luttant pour la sécurité de leurs clients terrorisés (car l’on parle de terrorisme pour qualifier certaines publications). Des hackers-fous incapables de comprendre que l’informatique est avant tout un outil de travail. Des « gentils chercheurs » se battant pour que la vérité triomphe, sortant, belle et nue d’un monceau de bugs et d’un trou sans fond. Non, le business de la faille, quel que soit le bord depuis lequel il est considéré –éditeur, chercheur, client, policier, cybertruand- est un véritable business. Il doit, comme tel, se doter d’un cadre normatif indépendant de toutes les parties en présence, et accepter qu’aucune des parties ne soit lésée et considérée comme quantité négligeable ou inféodée.

Laisser une réponse