Disclosure, Argent et Controle de l’information

Tout à l’heure je lisais un article sur Global Sécurity Mag, intitulé « La sécurité, un monde en pleine mutation ». J’aimerais donc discuter rapidement de cet article dans ce billet, car tout naturellement je ne suis pas d’accord avec son contenu

L’article en question reprend un communiqué de presse de Baracuda Networks (fournisseur d’appliances sécurité)  qui dit en substance que la société proposera dorénavant de rémunérer les découvertes de vulnérabilités sur ses produits,  sur un montant grosso-modo proportionnel à la criticité de la vulnérabilité. Évidemment cette rémunération est subordonnée à un « non disclosure agreement » jusqu’a ce que la faille ai été corrigée dans le produit:  C’est un point clé car c’est là que réside tout le vice de cette méthode.

Un phénomène marginal

La première erreur d’analyse de l’auteur vient du fait qu’il a pris l’exemple de Baracuda, l’a corroboré avec quelques autres acteurs plus ou moins importants de l’internet et en a fait une généralité. Or , si effectivement quelques entreprises et organisations commencent à adopter ce genre de pratiques, on est encore loin d’un changement de comportement massif.

Et l’utilisateur dans tout ça ?

Lorsqu’on y réflichit bien, du point de vue de l’utilisateur il n’y a pas grande différence entre un pirate qui fait commerce d’un 0day qu’il a trouvé,  et un chercheur qui  révèle une faille à un éditeur, en échange d’une récompense pécuniaire.  Pourquoi ? Simplement parce qu’en se faisant rémunérer pour sa découverte, le chercheur ne pourra bien sur rien publier sur la faille en question avant sa correction effective, ce qui laisse plein de temps au dit éditeur pour trainer des pieds. Et dans ces conditions, il n’est pas farfelu de penser que la vuln sera redécouverte entre temps par quelqu’un d’autre, qui pour le coup sera beaucoup moins intentionné. Dans ces deux cas, l’utilisateur se retrouve potentiellement vulnérable.

La seule différence notable réside donc ici: En rémunérant les découvertes de vulnérabilité,  Les éditeurs qui peuvent se l’offrir, s’achètent une certaine tranquillité en s’assurant que la vulnérabilité ne se propage pas. Mais pour moi le Full Disclosure reste le seul vrai moyen de pousser les éditeurs à patcher leurs solutions dans un délais suffisamment court…même si l’on peut admettre quelques « dommages collatéraux » , dans le laps de temps ou la vulnérabilité est en cours de correction.

Une solution non pérenne

Maintenant essayons de faire une projection, et d’envisager un monde ou tous les acteurs utilisent cette pratique. Que ce passerait-il ? Le monde de la sécurité informatique, comme tout autre domaine, n’échappant ni à l’économie de marché ni à la loi de l’offre et de la demande, on pourrait assister à une escalade dans la rémunération entre les personnes mal intentionnées à la recherche de 0days ( ie les codeurs de malwares), et les entreprises voulant récupérer les failles de leur produits à des fins légitimes. L’homme étant par défaut enclin à maximiser son profit au détriment de la communauté , je vous laisse imaginer la perversité de la chose…..

Que faut-il faire ?

Selon moi il existe une solution pour limiter les effets de bord d’une telle pratique. Ajouter une close de Full disclosure dans le cas ou l’éditeur n’aurait toujours pas patché la vulnérabilité au bout d’une certaine durée, Durée qui serait établie en fonction de la sévérité de la faille en question.

En tous cas je suis peut-être paranoïaque, mais pour moi ces annonces relèvent plus de tentatives pour reprendre le contrôle de l’information/communication produits  que d’ efforts sincères pour en améliorer la sécurité et la qualité. Le monde de la sécurité informatique  n’est donc pas en pleine mutation. Il est juste égale à lui même , avec ses hauts et ses bas….