Les nouvelles failles tombent dans un trou... noir
« T'aurais une estimation du nombre de failles « nouvelles » découvertes durant 2007 ? »Cette question confraternelle, posée cette semaine à un membre de la rédaction de CSO France, était bien embarrassante. - « Des failles nouvelles... tu veux dire des ZDE ? c'est en baisse, si on se réfère aux bruissements du Full Disclosure et à l'activité de Milw0rm, mais je n'ai pas de métriques précises... c'est un boulot de bénédictin. Regardes du coté du Sans, ils en font la remarque dans leur dernier rapport annuel. Mais rien de franchement scientifique ». - Et tu attribues çà à quoi ? - Je vous remercie d'avoir posé la question, répond-on généralement, histoire de se donner une contenance et de réfléchir à ce piège Viêt-Cong sémantique. Qu'est-ce qui fait disparaître les ZDE ? Car il y a tout de même des preuves tangibles de cette période révolue. Le rapport de ce même Sans Institute par exemple, qui, fin 2006, clamait haut et fort que le danger le plus prégnant avait pour nom ZDE. Lorsque le Zert a vu le jour, fin 2006, les ZDE bourgeonnaient comme acné dans une classe de seconde (section littéraire). Un Zert qui venait de se constituer tel un comité de salut public, avec pour unique but de fournir des « rustines provisoire d'urgence » en cas de non-réaction de l'éditeur : 29 septembre, 30 septembre, 12 octobre, 11 novembre... en trois mois, 4 rustines d'extrême importance colmatant des bugs de première catégorie « ignorées » par les éditeurs, et faisant l'objet d'exploits. Et puis plus rien. Tout au plus deux trous détectés respectivement fin mars et début avril. Déjà, l'on pouvait se douter de quelque chose en parcourant les sites spécialisés. Les écrits de Liu Die Yu et http-equiv s'espaçaient sérieusement, après des années de publications de failles visant Internet Explorer. Luigi Auriema, premier fusil en matière de découvertes de failles en 2005, devenait aussi bavard qu'un inspecteur des finances. Paul, de GreyHat, rentrait dans le rang et assurait publiquement son indéfectible amitié envers sa tête de turc préférée d'antan, Microsoft. Même les frères Litchfield, même les Dan Geer et les Cesar Cerrudo se montrent plus prudents. Indiscutablement, la première explication qui vient à l'esprit, c'est la « dérive libérale », tant des lois que des politiques et de l'opinion publique. Les messages simplistes tels que « la divulgation fait le lit des pirates » et « toute recherche sur ce logiciel sera considéré comme un vol de propriété intellectuelle » sont bel et bien passés dans l'opinion publique. Geer, Litchfield et Cerrudo qui ploient face à une armée d'avocats, ou plus exactement devant l'écrasante perspective de frais de justice pharaoniques, c'est en partie le triomphe d'une forme de censure à la communication technique et l'acceptation d'une riposte frisant les méthodes musclées des régimes totalitaires. C'est une forme d'intimidation qui ne veut pas dire son nom. Corolaire de cette politique de la main de fer, des initiatives voient le jour, qui visent à publier « sous contrôle » le travail des chercheurs. Le ZDI, ou Zero Day Initiative inventé par TippingPoint, les primes à la découverte offertes par iDefense, tout çà relève de la même logique. En rétribuant les découvertes de failles, ces organisations commerciales récupèrent l'indiscutable « gloire » -ou gloriole- qui entoure toute révélation dans le domaine de la sécurité, tout en assurant un contrôle des choses rendues public et, à l'inventeur, un revenu non négligeable. En outre, cette tactique protège le chercheur des aléas juridiques liés à une communication autogérée (certains éditeurs menacent sur simple réception d'une alerte expédiée à leurs services techniques). Un procédé qui a, si l'on en juge par les paternités des découvertes publiées par Secunia ou par le Bugtraq, remporté un franc succès. Succès tellement grand qu'il a même inspiré des entreprises commerciales exclusivement spécialisées dans le négoce du trou de sécurité, ainsi WabiSabiLabi. Avec cette infâmante monétisation des RTT (Recherche et Travaux sur les Trous), l'on imagine aisément les surenchères que le « coté obscur de la force » peut offrir. Combien se monnaye un « bon » ZDE sur la place de Shanghai ou de Moscou ? Nécessairement bien plus-et net d'impôts- que ce qu'offrent d'autres acheteurs de failles très discrets, services de police et de renseignements officiels, agences de Détectives-Privés-Enquêtes-Filature-Renseignements-Commerciaux... Car toutes les polices, officielles ou parallèles, utilisent des outils comparables à ceux qu'emploient les mafias du monde entier. L'on s'en aperçoit parfois à l'occasion d'un dérapage, ainsi l'affaire Haephrati ou d'une révélation à propos d'un Magic Lantern ou d'un Dirt. Du coté des triades chinoises ou des mafias russes, on appelle çà Botnet, Mpack, Storm... le résultat est le même : les ZDE sont l'ossature nécessaire au développement de programmes d'espionnage efficaces. Le ZDE existe donc toujours, mais sa vie d'animal diurne et tapageur évolue peu à peu, se transforme en une passionnante mais très discrète existence d'insecte cavernicole. Cette théorie de l'occultation politico-policiéro-financiéro-mafieuse est d'ailleurs défendue par les principaux businessmen de la sécurité périmétrique. On peut leur faire confiance sur ce point, c'est la justesse de leur analyse qui conditionne les politiques commerciales et stratégies techniques de leurs entreprises... et par voie de conséquence leur propre chèque de fin de mois. On voit de moins en moins de ZDE, ce n'est pas une raison pour cesser de les craindre, disent-ils. C'est ce que professe d'ailleurs cette semaine Jeremiah Grossman, de WhiteHat Security, dans les colonnes de SC Magazine. Une analyse détaillée -quoique légèrement orientée- traitant de la disparition de l'espèce ZDE sous sa forme publique, et de sa survivance dans un « monde parallèle » et très rémunérateur. Le monde du malware se professionnalise, entend-on depuis bientôt 3 ans. Il devient plus discret, plus efficace, plus rémunérateur. Est-il surprenant alors que le monde de la recherche suive à son tour un mouvement analogue, abandonne son folklore empreint de geekitude et d'envolées anarchisantes, pour se focaliser vers des considérations plus business ? La sécurité informatique et Internet atteint son « age de raison », avec les bons et les mauvais cotés de l'affairisme qui en découle. Doit-on également retenir l'assertion des éditeurs selon laquelle les ZDE disparaissent grâce à la mise en oeuvre de procédure de « safe coding » et de contrôles qualité poussés lors du développement des programmes ? « C'est stupide... nous en serions les premiers informés et je serais milliardaire en dollars » nous confiait le patron d'une entreprise finlandaise spécialisée dans le domaine du Fuzzing préventif. Certes, des mesures techniques (ASLR notamment) éliminent en partie les risques d'attaque les plus courantes par buffer overflow. Certes, également, les Microsoft, Cisco, Oracle font preuve de beaucoup plus de réactivité lorsqu'un problème technique leur est signalé. Mais ne perdons pas de vue que, parallèlement à cette tendance à l'amélioration, ces mêmes éditeurs continuent de produire quotidiennement des milliers de lignes de code, lancent de nouvelles techniques, de nouvelles idées, qui, à leur tour, apportent leurs lots de vulnérabilités, de plâtres à essuyer, d'erreurs de conceptions que seul le temps -et quelques hackers noirs ou blancs- sauront mettre en évidence. Pour 10 failles critiques corrigées dans un Vista ou un Oracle, il s'en produit 10, 20 ou 30 autres dans un développement HyperV, un VMWare 3i ou un Xen. Et ce, quelque soient parfaites les méthodes et procédures de travail. Faut-il craindre cette apparente disparition des ZDE ? Sans le moindre doute, et l'on peut en constater chaque jour la raison. En dissuadant les chercheurs de publier la moindre preuve d'exploitation, les principaux éditeurs sont parvenus à leurs fins. Le retour de cette « sécurité par l'obscurantisme » joue en faveur d'un regain de confiance dans l'image de marque, du moins à court terme. Elle accroît également la vulnérabilité de l'usager privé, aveuglé par un sentiment de fausse sécurité. On surestime toujours les risques que l'on connaît, on sous-estime systématiquement les menaces inconnues. En maitrisant toute information relative à l'insécurité potentielle de leurs productions, les éditeurs et équipementiers font passer certaines failles du stade de Risque connu à l'état de danger insoupçonné. Et, par là même, une défense de plus en plus mal adaptée face à une menace de moins en moins bien cernée. L'on peut également craindre que ce silence favorise les dérives de certains pourfendeurs de téléchargeurs P2P (les productions Sony notamment, mais également les « faux » morceaux de musique que nous préparent les récentes orientations antipirates françaises). Ajoutons y également le travail des diffuseurs « traditionnels » de malwares que sont les grands spammeurs, les gardiens de botnets, les diffuseurs de spywares, qui travaillent alors dans une discrétions protectrice. Un risque d'autant plus grand que la notion même de ZDE évolue. L'on pourrait même considérer -c'est là un fait nouveau- qu'une « vieille faille connue » pourrait bel et bien entrer dans la catégorie des trous indétectables, soit peu ou prou la définition d'un ZDE. Car, en détruisant les rustines diffusées par les éditeurs, une nouvelle génération de virus du calibre d'Advatrix peut ré-ouvrir des plaies relativement douloureuses. Un exploit, dans le monde des truands, c'est avant tout un investissement. Coûteux parfois. Et sa durée de vie justifiera tous les développements du monde visant à prolonger son « efficacité opérationnelle » comme disent les militaires. Mais l'existence d'Advatrix et autres missiles anti-rustines n'explique pas tout. Dancho Danchev demande d'ailleurs « Mais qui donc a réellement besoin de ZDE lorsque l'on voit que des exploits de la faille ActiveX Mdac sont encore si fréquents dans la nature ? » Les principales orientations du crime informatique organisé vont dans le sens d'une exploitation extensive des machines possédées par les particuliers, les TPE, les entreprises mal protégées. Il n'est pas toujours nécessaire d'investir en permanence dans des ZDE haut de gamme alors qu'il y a encore tant à glaner dans ces millions de disques durs vierges de toute rustine. Une constatation que dresse également le tout dernier rapport publié par F-Secure : « Coté malwares, les véritables innovations sont en déclin et sont remplacées par des « kits de compromission déployés en masse. L'absence de nouvelles technique d'attaque est compensée par une meilleur exploitation des outils existants et une plus grande rechercher de leur efficacité ». Le ralentissement apparent des publications sauvages de ZDE n'est donc absolument pas synonyme d'un ralentissement de l'activité virale au sens général du terme. Bien au contraire, puisque statistiquement, le nombre de souches nouvelles découvertes tout au long de 2007 passe le cap du demi-million de malwares, soit deux fois plus que ce qui avait été mesuré l'année précédente. Les ZDE sont donc utilisés au moment opportun, économisant ainsi dans la gibecière des grands exploitants de botnets de précieuses cartouches logicielles dont l'usage révèle tôt ou tard l'existence.