Miller sur la Valeur des failles

• Imprimer

>« Lorsqu'un éditeur est mis au courant de l'existence d'une faille, il y a de fortes chances pour que cette information ne soit pas de toute première fraîcheur... et ce n'est pas franchement rassurant » dit en substance Jason Miller du Security Focus. Son éditorial, « The value of vulnerabilities », reprend les principaux arguments en faveur d'une divulgation responsable, dénonçant la politique du silence autant que la communication non concertée. Miller aborde également, tout comme Danchev, l'épineux problème soulevé par TippingPoint ou iDefense, les principaux « acheteurs officiels de failles ». « Avec de telles pratiques, des chasseurs de failles peuvent envisager vivre avec le montant des primes et ne limiter son activité qu'à cette seule pratique... c'est particulièrement inquiétant » estime l'auteur. Tant Danchev que Miller sous-entendent plus qu'ils ne dénoncent un nouvel aspect du problème de la divulgation : l'influence directe du secret de l'information sur le développement du « crime business » : le silence de certains éditeurs est en passe de friser la complicité criminelle : en ne prévenant pas les usagers d'un risque potentiel connu, et même en l'absence de correctifs achevés, un vendeur de logiciels contribue au masquage de l'activité de pirates ou de « grey hats » exploitant ladite faille. C'est de la complicité passive. Du temps de Windows 95, le discours « moins on en parle, plus on a le temps de développer une rustine solide » pouvait se justifier. Après tout, les pirates n'étaient pas si nombreux et se montraient particulièrement peu discrets. Mais à notre époque, nul concepteur de programme ne peut jurer que la collection de trous qu'il possède n'est pas déjà utilisée par des polluposteurs ou des pratiquants du keylogging et du Cheval de Troie... voire pire. Lesquels pirates, à leur tour, utilisent ces trous avec une subtilité de plus en plus achevée. En prenant de la valeur sur le marché noir, le trou de sécurité subit également les contraintes du R.O.I. : un bon trou est un trou qui dure et qui doit être amorti. Pour l'heure, ceux qui profitent de cette situation sont les vendeurs d'IPS et autres outils et services de détection et de blocage. « Comment se protéger d'une faille connue, divulguée et non colmatée ? Mais grâce à nous bien sur »... encore faudrait-il que ceux qui tiennent ce discours, industriels du firewall ou spécialistes des « managed services », ne soient pas précisément les mêmes qui, par des primes à la découverte de faille, provoquent et accélèrent la disparition de l'éthique du milieu.