Tout chantage mérite salaire
Sam Goodin, du Reg, revient sur la genèse d'une alerte sécurité révélant une faille dans la « toolbar cliente » du réseau social LinkedIn. DeMott, l'inventeur du défaut, avait, explique notre éminent confrère, osé demander 5 000, puis 10 000$ en échange des détails techniques concernant son exploit. Toute peine mérite salaire, expliquait-il, y compris les recherches en matière de sécurité.
C'est là le plus ignoble des chantages,s'indignent les responsables à la tête de LinkedIn. Le problème sera corrigé 24 heures après divulgation de l'exploit, dans l'indifférence générale... ou presque. Quant à l'accusation de chantage, DeMott rétorque par un démenti goguenard : s'il avait véritablement cherché à faire fortune, il pouvait trouver, dans les pays de l'Est, des oreilles plus attentives et considérablement plus conciliantes.
Mais le plus savoureux reste à venir. Poursuivant consciencieusement son enquête, Sam Goodin en vient à interviewer Terri Forslof, patron du Response Team de TippingPoint. Lequel Forslof explique sans ambages qu'aucun éditeur ne peut recevoir une proposition telle que celle de DeMott sans y voir une tentative d'extorsion. Est-il nécessaire de rappeler que TippingPoint est précisément l'une de ces entreprises qui a popularisé et répandu l'idée de la marchandisation des failles de sécurité ? Est-il nécessaire de préciser que pas une seule fois TippingPoint n'a publié ne serait-ce qu'un aperçu de sa « collection de trous », apposant ainsi une chape de silence sur des dangers potentiels et sur l'état d'avancement de leurs éventuelles corrections ? Existe-t-il le moindre élément prouvant que l'intégralité des failles « achetées » par cette entreprise commerciale -et non une entité indépendante et neutre- est bel et bien communiquée immédiatement aux entreprises directement concernées ? Et par « entreprise directement concernée », l'on entend l'éditeur du logiciel ou du firmware touché par ce défaut, et non une officine gouvernementale intéressée par « un usage ponctuel et discret » dudit défaut. S'il est une entreprise qui doit avoir la décence de ne surtout pas discuter la morale de la « vente de bugs », c'est bien TippingPoint.
La morale de cette histoire, c'est que même la morale peut changer. Originellement, la découverte des failles et les discussions techniques liées à ces découvertes relevaient un peu du don d'organe : une simple affaire de choix personnel, mais devant demeurer strictement gratuit, et parfois anonyme. Il y allait de la santé publique. Puis, peu à peu, certains grands laboratoires pharminformatiques ont commis l'erreur, pour de sordides raisons de rentabilité à court terme, de monétiser les découvertes de failles. Avec pour première conséquence une très nette augmentation des tarifs sur le « marché noir » de la vulnérabilité. Car bien entendu, les « bugs » se revendaient sous le manteau depuis longtemps déjà. Mais les tarifs n'étaient pas franchement incitatifs au regard des risques encourus. En « officialisant » la valeur des failles, les TippingPoint et consorts ont pour ainsi dire créé une sorte de cotation boursière de l'exploit Zero Day.
Jusqu'à présent, les éditeurs ont tenté de contrôler les agissements de tous les chercheurs en sécurité, en clamant haut et fort les règles édictées dans leurs « chartes de divulgation raisonnée », sortes de « règlements intérieurs » justifiant les rétorsions juridiques sous prétexte d'une ligne de conduite autoproclamée et soi-disant « demandée par l'ensemble de la population ». La première erreur monumentale commise par les éditeurs et équipementiers, Cisco et Microsoft en tête *, fut précisément de ne pas avoir su parvenir à un accord formalisé, un RFC accepté par tous les partis en place. Ce que n'ont compris ni Gates, ni Ballmer à l'époque, c'est qu'une bonne négociation, c'est avant tout d'apprendre à « perdre du terrain » afin de consolider des positions chèrement acquises. Et c'est dans ce climat de Far West du « disclosure mi-full, mi-raison » que sont arrivés les TippingPoint et consorts, avec les conséquences catastrophiques que l'on connait aujourd'hui.
Comment sortir de cette spirale de l'inflation des qualificatifs, des tarifs « à la tête du bug » et des émergences de sites de vente aux enchères ? Tout ceci pourrait bien s'achever par voie de décret... car c'est bien là ce qui pend au nez de toute la communauté des professionnels de la sécurité.
- Soit l'on parvient à faire interdire toute publication au sens strict du terme garantissant ainsi une totale liberté d'action aux auteurs de malwares, libres de s'attaquer à un public laissé dans une totale ignorance des risques encourus
- Soit l'on déclare hors la loi tout achat de vulnérabilité, sans exception ou passe-droit aucun, ce qui aura pour effet de « démonétiser » les bugs, et indirectement les tarifs du marché noir (mais peut-on revenir sur le passé ?)
- Soit l'on encadre par des dispositions économiques précises les tarifs pratiqués, tout comme c'est le cas pour d'autres produits toxiques tels que le tabac ou l'alcool, le tout accompagné de mesures répressives visant à tuer dans l'oeuf tout risque de marché noir.
Il n'est pas certain que ce soient les chercheurs de failles qui aient le plus à perdre de la situation actuelle et des conséquences futures.
*NdlC, Note de la Correctrice : Il faut cependant reconnaître que ce sont notamment des employés de Microsoft qui ont, les premiers, envisagés de constituer un RFC sur la divulgation raisonnable, projet avorté par la voie hiérarchique qui voyait probablement là une atteinte à son autorité et à sa vison « marketing » de la sécurité.