Janvier promet d’être un mois chargé pour les administrateurs de serveurs Web et de bases de données : une société de recherche en sécurité en Russie a déclaré qu’elle prévoyait de publier des informations sur une multitude de vulnérabilités jusque-là non documentées dans plusieurs produits logiciels commerciaux largement utilisés.
Evgueni Légerovfondateur de Moscou basé Intevydis, mentionné il a l’intention de publier les informations entre le 11 janvier et le 1er février. La liste finale des vulnérabilités à publier est toujours en évolution, a déclaré Legerov, mais elle est susceptible d’inclure des vulnérabilités (et dans certains cas des exploits fonctionnels) dans :
-Serveurs Web tels que Serveur Web Zeus, Serveur Web Sun (débordements de tampon de pré-authentification);
-Bases de données, y compris MySQL (débordements de buffer), IBMDB2 (vulnérabilité racine locale), Lotus Dominos et Informix
-Serveurs d’annuaire, tels que Novell eDirectory, Répertoire du soleil et Annuaire Tivoli.
Dans une interview avec breachtrace.com, Legerov a déclaré que sa position sur la divulgation des vulnérabilités avait évolué au fil des ans.
« Après avoir travaillé assez longtemps avec les fournisseurs, nous sommes arrivés à la conclusion que, pour faire simple, c’est une perte de temps. Maintenant, nous ne contactons pas les fournisseurs et ne soutenons pas la soi-disant politique de « divulgation responsable » », a déclaré Legerov. Par exemple, a-t-il déclaré, « il y aura bientôt une vulnérabilité de Realplayer publiée il y a deux ans, que nous avons gérée de manière responsable [and] mis en contact avec un fournisseur.
Le problème est la question éthique et pratique embêtante de savoir si diffuser le linge sale d’un fournisseur de logiciels (les failles de sécurité non corrigées qu’il connaît mais n’a pas encore corrigées) oblige le fournisseur concerné à résoudre le problème plus rapidement qu’il ne l’aurait fait si le problème était resté un secret relatif. De nombreux exemples montrent que cette approche dite de « divulgation complète » incite en fait les fournisseurs à publier des correctifs plus rapidement que lorsqu’ils sont notifiés en privé par le chercheur et autorisés à rechercher et à résoudre le problème selon leur propre calendrier. Mais dans ce cas, Legerov a déclaré qu’il n’avait eu aucun contact avec les fournisseurs, à l’exception de Zeus.com, qui, selon lui, fournira probablement une mise à jour pour corriger le bogue le jour où il détaillera la faille.
Intevydis fait partie de plusieurs sociétés de recherche sur les vulnérabilités qui vendent des «packs d’exploits» – ou des extraits de code qui exploitent les vulnérabilités de logiciels largement utilisés (d’autres incluent Gleg, Activer la sécuritéet D2). Les packs d’exploits de la société sont conçus pour les utilisateurs de CANVAS, un outil commercial de test de pénétration de logiciels vendu par Miami Beach, en Floride. Immunité, Inc.
Alors que les organisations qui achètent CANVAS avec des packs d’exploits de ces sociétés peuvent bénéficier d’une meilleure protection contre les vulnérabilités de sécurité nouvellement découvertes en attendant que les fournisseurs concernés corrigent les failles, Immunity ne signale pas les vulnérabilités aux fournisseurs concernés (à moins que les fournisseurs ne soient également des clients, auquel cas ils auraient accès aux informations en même temps que tous les autres clients).
Cette approche se distingue des goûts de Point de basculementc’est Initiative Zero Day et Verisignc’est Programme de contribution aux vulnérabilités iDefense, qui rémunèrent les chercheurs en échange des droits sur leurs recherches sur la vulnérabilité. ZDI et iDefense gèrent également la communication avec les fournisseurs concernés, fournissent une protection provisoire pour les vulnérabilités à leurs clients et gardent le silence sur les défauts jusqu’à ce que le fournisseur fournisse une mise à jour pour corriger les bogues.
Legerov a déclaré qu’il avait été un contributeur anonyme aux deux programmes au fil des ans et qu’il n’était pas difficile pour de bons chercheurs de gagner entre 5 000 et 10 000 dollars par mois en vendant des vulnérabilités et des exploits à ces entreprises. Mais il a ajouté qu’il préfère la voie de la divulgation complète car « elle permet aux gens de publier ce qu’ils pensent sans être modérés ».
Dimitri Alperovitchvice-président de la recherche sur les menaces chez McAfee, a qualifié la divulgation prévue de Legerov d' »irresponsable », compte tenu du grand nombre d’entreprises qui dépendent des produits concernés. Alperovitch a déclaré que la manière responsable de divulguer une vulnérabilité consiste à envoyer des informations au fournisseur et à lui faire savoir que vous prévoyez de publier dans un délai raisonnable (généralement 60 à 90 jours).
«S’ils demandent plus de temps – encore une fois, raisonnablement – pas un an – vous essayez de vous adapter. Si le vendeur ne répond pas, vous relâchez et passez à autre chose », a-t-il déclaré. « Mais ne leur donner aucun préavis simplement parce que certains fournisseurs ne prennent pas la sécurité au sérieux est irresponsable. »
Charlie Millerancien chercheur en sécurité pour le Agence de Sécurité Nationale qui dirige maintenant la société basée à Baltimore Évaluateurs de sécurité indépendants (et est co-fondateur de la Plus de bugs gratuits meme) , a également gagné des dizaines de milliers de dollars auprès d’entreprises de gestion des vulnérabilités, notamment en participant à ZDI Concours Pwn to Ownqui portent un premier prix de 10 000 $.
« Ces programmes sont bons parce qu’ils permettent aux chercheurs d’obtenir quelque chose pour leurs efforts, et vous n’avez pas à gérer les allers-retours avec le fournisseur, ce qui n’est pas amusant », a déclaré Miller.
Pourtant, Miller a déclaré qu’il sympathisait avec les chercheurs qui réagissent à l’apathie des fournisseurs avec une divulgation complète.
«Le fait est que trouver des bogues de sécurité critiques dans des logiciels largement utilisés devrait être rare si les fournisseurs font leur travail. Mais le plus triste, c’est que trouver un bogue sérieux dans quelque chose comme Adobe Reader n’est pas un événement très rare, et cela semble se produire presque tous les mois maintenant », a déclaré Miller. « La conclusion que nous pouvons tirer est que certains éditeurs ne font pas assez pour sécuriser leurs logiciels. Cela devrait être suffisamment rare pour que les fournisseurs soient tellement surpris et inquiets qu’ils soient prêts à faire ce qu’ils doivent faire pour le réparer.
Laissant de côté pour le moment le débat sur la divulgation complète, il a été fascinant d’observer le développement de l’industrie de la gestion des vulnérabilités. Je me souviens d’une table ronde animée en 2006 lors de la conférence CANSEC West à Vancouver, en Colombie-Britannique, au cours de laquelle ZDI et plusieurs partisans de cet effort ont pris un peu de chaleur pour le programme de la part d’un certain nombre de personnes du secteur de la sécurité.
Ces jours-ci, ZDI et iDefense sont chargés de pousser les fabricants de logiciels à corriger un nombre impressionnant de failles logicielles. Prenez Microsoft, par exemple : selon mes calculs, Microsoft a corrigé environ 175 failles de sécurité dans ses systèmes d’exploitation Windows et d’autres logiciels l’année dernière. Parmi ceux-ci, le programme ZDI est chargé d’en signaler 32, tandis que le programme d’iDefense a contribué à 30 rapports de failles. Ensemble, les deux programmes représentaient plus d’un tiers de toutes les vulnérabilités corrigées par Microsoft en 2009.
Vous avez des sentiments forts à propos de cet article ou de la question de la responsabilité des fournisseurs ou de la divulgation des vulnérabilités ? Veuillez déposer une note dans la section des commentaires ci-dessous.