Le disclosure à moitié full où vide de sens ?
En profitant de l'annonce du dernier train de rustines Microsoft, le blog du Cert-Lexsi glisse subrepticement une référence à un article de Jeremia Grossman annonçant la fin du « full disclosure ». On entend d'ici, explique l'éditorialiste américain, les cris de victoire des principaux éditeurs -et, devrions nous ajouter, des parangons d'hypocrisie qui voient en la liste FD un quarteron de nihilistes irresponsables- : « the many software vendors will try to capitalize on the fact that less vulnerabilities will get reported and say it's result of "more secure software ». C'est effectivement là le premier danger, et l'on commence à en constater les effets. Les logiciels sont-ils devenus « plus surs » ? C'est là une question toute dialectique. Tout comme est dialectique la question des causes de la disparition du « full disclosure » lui-même. Grossman a mille fois raison lorsqu'il déclare que 2008 sonne probablement le glas d'une information sécurité objective et complète, entretenue par un groupement d'idéalistes. Non pas parce que les éditeurs ont gagné le combat de la maitrise de l'information. Mais plus exactement parce que ces mêmes éditeurs, en exerçant une pression juridique envers ces « idéalistes » du full disclosure et en tentant de « récupérer » le système via des filières monétisant les découvertes de failles, ont perdu avec fracas cette bataille capitale. Car la première conséquence de cette politique à court terme a été d'occulter la découverte de faille. Toutes les découvertes. De les faire passer du statu d'information publique à celle de « données underground », d'armes de la clandestinité. Et ainsi faisant, d'accepter qu'un certain nombre de ces découvertes « passent à l'ennemi » ou échappent à leur contrôle, au détriment des usagers. C'est là le corolaire d'un sujet déjà longuement traité sans les colonnes de CSO France au début de ce mois notamment : la mort du full disclosure n'est que la conséquence (le signe avant-coureur) de la diminution des ZDE publiés. La disparition de cette insupportable mailing list va enfin masquer la misère des vulnérabilités, va laver la honte de l'imperfection humaine qui entache la délicatesse des oeuvres des Microsoft, des Cisco, des Oracle... Mais est-ce pour autant la fin des vulnérabilités ? La faille est, allégoriquement, comparable à un autre fléau de l'ère informatique : le spam. C'est bien connu, le spam n'existe plus, puisqu'il est à 90% éliminé par la grande majorité des anti-pourriels. En glissant discrètement les balayures sous le tapis -le volume du spam transmis continue de dépasser les 80% du trafic smtp- l'on a virtualisé le problème. Sans l'éliminer le moins du monde d'ailleurs, car les enjeux économiques liés demeurent considérables. Il en allait de même pour les virus et malwares qui, avec le temps, ont appris à se faire excessivement discrets, à ne plus dégrader les performances des ordinateurs (ironiquement, ce rôle est dévolu à l'antivirus). C'est aujourd'hui au tour des vulnérabilités -là encore, un sujet lié à des enjeux économiques considérables- Une à une, les causes première de la sécurité sont escamotées, remplacées par des solutions « technologiques », mot magique, panacée qui protège le monde de l'incompréhension de la menace elle-même. A force de virtualiser les dangers, les RSSI et CSO, en se faisant les défenseurs de ces politiques du moins-disant, ne risquent-ils pas de se virtualiser eux-mêmes ? Le full disclosure meurt dans une indifférence générale, achevé par la lente strangulation d'un consensus mou. CSO France se penchera, ce prochain vendredi, sur les conséquences directes de cette occultation de la menace, en analysant trois rapports consacrés au développement des grands réseaux mafieux en Russie et en Chine, et sur l'apparente alliance objective liant certains gouvernements et les réseaux de piratage.
