Cela arrive tout le temps : les organisations sont piratées parce qu’il n’y a pas de moyen évident pour les chercheurs en sécurité de les informer des vulnérabilités de sécurité ou des fuites de données. Ou peut-être qu’il n’est pas tout à fait clair qui devrait recevoir le rapport lorsque l’accès à distance au réseau interne d’une organisation est vendu dans la clandestinité de la cybercriminalité.
Afin de minimiser ces scénarios, un nombre croissant de grandes entreprises adoptent «Sécurité.txt», une nouvelle norme Internet proposée qui aide les organisations à décrire leurs pratiques et préférences en matière de divulgation des vulnérabilités.
Un exemple de fichier security.txt. Image : Securitytxt.org.
L’idée derrière Security.txt est simple : l’organisation place un fichier appelé security.txt dans un endroit prévisible, tel que example.com/security.txt ou example.com/.well-known/security.txt. Le contenu du fichier security.txt varie quelque peu, mais la plupart incluent des liens vers des informations sur les politiques de divulgation des vulnérabilités de l’entité et une adresse e-mail de contact.
le fichier security.txt mis à disposition par USAA, par exemple, inclut des liens vers son programme de primes aux bogues ; une adresse e-mail pour divulguer des questions liées à la sécurité ; sa clé de chiffrement publique et sa politique de divulgation des vulnérabilités ; et même un lien vers une page où l’USAA remercie les chercheurs qui ont signalé d’importants problèmes de cybersécurité.
D’autres divulgations de security.txt sont moins détaillées, comme dans le cas de Santé HCAqui listes une adresse e-mail de contact et un lien vers les politiques de « divulgation responsable » de HCA. Comme l’USAA et de nombreuses autres organisations qui ont publié des fichiers security.txt, HCA Healthcare inclut également un lien vers des informations sur les offres d’emploi en sécurité informatique dans l’entreprise.
Avoir un fichier security.txt peut permettre aux organisations de répondre plus facilement aux menaces de sécurité actives. Par exemple, ce matin même, une source fiable m’a transmis les informations d’identification VPN d’un grand détaillant de vêtements qui ont été volées par des logiciels malveillants et mises à la disposition des cybercriminels. Trouver aucun fichier security.txt sur le site du détaillant en utilisant gotsecuritytxt.com (qui vérifie un domaine pour la présence de ce fichier de contact), breachtrace a envoyé une alerte à son adresse e-mail « security@ » pour le domaine du détaillant.
De nombreuses organisations utilisent depuis longtemps de manière non officielle (si ce n’est annoncé) l’adresse e-mail security@[companydomain] pour accepter les rapports sur les incidents de sécurité ou les vulnérabilités. Peut-être que ce détaillant en particulier l’a également fait à un moment donné, mais mon message a été renvoyé avec une note indiquant que l’e-mail avait été bloqué. BreachTrace a également envoyé un message au directeur de l’information (CIO) du détaillant – la seule personne occupant un poste de niveau C chez le détaillant qui faisait partie de mon réseau LinkedIn immédiat. Je ne sais toujours pas si quelqu’un l’a lu.
Bien que security.txt ne soit pas encore une norme Internet officielle telle qu’approuvée par le Groupe de travail sur l’ingénierie Internet (IETF), ses principes de base ont jusqu’à présent été adoptés par au moins huit pour cent des entreprises du Fortune 100. Selon un examen des noms de domaine des dernières entreprises du Fortune 100 via gotsecuritytxt.com, ceux-ci incluent Alphabet, Amazone, Facebook, Santé HCA, Kroger, Procter & Gamble, USAA et Walmart.
Il peut y avoir une autre bonne raison de regrouper les informations sur les contacts de sécurité et les rapports de vulnérabilité en un seul endroit prévisible. Alex Holdenfondateur du cabinet de conseil basé à Milwaukee Garder la sécuritéa déclaré qu’il n’est pas rare que des pirates malveillants rencontrent des problèmes pour attirer l’attention des bonnes personnes au sein de la même organisation qu’ils viennent de pirater.
« En cas de rançon, les méchants essaient de contacter l’entreprise avec leurs demandes », a déclaré Holden. « Vous n’avez aucune idée de la fréquence à laquelle leurs messages sont pris dans des filtres, supprimés, bloqués ou ignorés. »
PRÉPAREZ-VOUS À ÊTRE DÉLUGÉ
Donc, si security.txt est si génial, pourquoi n’est-il pas encore adopté par plus d’organisations ? Il semble que la configuration d’un fichier security.txt tende à inviter un volume assez élevé de spam. La plupart de ces courriers indésirables proviennent de testeurs d’intrusion autoproclamés qui, sans aucune invitation à le faire, exécutent des outils automatisés de découverte de vulnérabilités, puis soumettent les rapports qui en résultent dans l’espoir d’obtenir un engagement de conseil ou une prime de bug.
Cette dynamique a été un sujet majeur de discussion dans ces pirates Fils d’actualité sur security.txt, dans lequel un certain nombre de lecteurs ont raconté leur expérience d’avoir été tellement inondés de rapports d’analyse de vulnérabilité de mauvaise qualité qu’il est devenu difficile de repérer les rapports qui valent vraiment la peine d’être approfondis.
Edwin « EdOverflow » Foudille co-auteur de la norme de notification proposée, a reconnu que les rapports indésirables sont un inconvénient majeur pour les organisations qui proposent un fichier security.txt.
« Ceci est en fait indiqué dans la spécification elle-même, et il est extrêmement important de souligner que les organisations qui mettent en œuvre cela vont être inondées », a déclaré Foudil à BreachTrace. « L’une des raisons du succès des programmes de primes aux bogues est qu’ils sont essentiellement un filtre anti-spam glorifié. Mais quelle que soit l’approche que vous utilisez, vous allez être inondé de ces rapports de merde et de qualité inférieure.
Souvent, ces rapports de vulnérabilité médiocres proviennent d’individus qui ont scanné l’ensemble d’Internet à la recherche d’une ou deux vulnérabilités de sécurité, puis ont tenté de contacter toutes les organisations vulnérables à la fois de manière semi-automatisée. Heureusement, a déclaré Foudil, bon nombre de ces rapports de nuisance peuvent être ignorés ou regroupés en créant des filtres qui recherchent les messages contenant des mots-clés couramment trouvés dans les analyses de vulnérabilité automatisées.
Foudil a déclaré que malgré les problèmes de spam, il a entendu d’énormes commentaires d’un certain nombre d’universités qui ont mis en œuvre security.txt.
« Cela a été un succès incroyable avec les universités, qui ont tendance à avoir beaucoup de systèmes hérités plus anciens », a-t-il déclaré. « Dans ce contexte, nous avons vu une tonne de rapports précieux. »
Foudil se dit ravi que huit des entreprises du Fortune 100 aient déjà implémenté security.txt, même s’il n’a pas encore été approuvé en tant que norme IETF. Quand et si security.txt est approuvé, il espère passer plus de temps à promouvoir ses avantages.
« Je n’essaie pas de gagner de l’argent avec cette chose, qui est survenue après avoir discuté avec pas mal de personnes à DEFCON [the annual security conference in Las Vegas] qui avaient du mal à signaler les problèmes de sécurité aux fournisseurs », a déclaré Foudil. « La principale raison pour laquelle je ne fais pas tout mon possible pour le promouvoir maintenant, c’est parce que ce n’est pas encore une norme officielle. »
Votre organisation a-t-elle envisagé ou mis en œuvre security.txt ? Pourquoi ou pourquoi pas? Sonnez dans les commentaires ci-dessous.