Discussion :

[Idelways]

Google veut réinventer les règles de divulgation des failles
Et publie un guide de bonne conduite pour mettre la pression sur les éditeurs : Microsoft visé ?




Après avoir été impliqué indirectement dans l'affaire Ormandy (et le débat qui déchaine encore les passions sur l'éthique de la divulgation des failles), Google vient de publier à une sorte de guide de bonne conduite destiné à ses chercheurs en sécurité.

Moutain View invite également le reste de la communauté IT à s'y conformer.

Le groupe des chercheurs de Google qui ont publié cet ensemble de recommandations sur le blog de l'entreprise estiment que la « divulgation responsable » semble être la plus saine mais est souvent à l'origine de laxisme de la part de de certains éditeurs.

L'approche inverse, « rendre tout public », serait quant à elle, et malgré son irresponsabilité apparente, la meilleure façon d'améliorer la sécurité puisqu'elle met la pression sur les entreprises dont les produits sont touchés par les failles. Mais elle peut également être dangereuse en donnant des méthodes quasiment clef en main aux pirates.

Google plaide donc pour un juste milieu. Cette nouvelle politique de divulgation des failles a pour but d'inciter les entreprises, qui comptent trop souvent sur la divulgation responsable, à être vertueux par eux-même en corrigeant les vulnérabilités dans des délais raisonnables.

Cette méthode prônée par Google propose de fixer une date limite de divulgation à toute vulnérabilité que les chercheurs rapportent aux éditeurs. La durée avant divulgation doit être proportionnelle à la gravité de la faille. La date limite peut être plus courte s'il existe des preuves que des pirates sont déjà à l'oeuvre.

Tout refus de correction (ou le dépassement de la date limite) entrainerait automatiquement la publication de la vulnérabilité.

Si l'idée est bonne, elle place aussi Google dans la position du Chevalier Blanc de la sécurité informatique. Et elle légitime également les décisions de son ingénieur, Travis Ormandy, en visant, sans le dire ouvertement, Microsoft.

Reste à savoir si le groupe de hackers anonymes qui a décidé de s'attaquer aux produits de Redmond pour venger les « diffamations » et le « mépris » envers les experts en sécurité affiché par Microsoft respecteront, eux aussi, cette charte de bonne conduite.

Source : Blog de Google Online Security


Lire aussi :

Un groupe anonyme veut se venger de Microsoft après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas


Les rubriques (actu, forums, tutos) de Développez :

Securité
Systèmes
Développement Web


Et vous ?

Google vous parait-il être à ce point à la pointe de la sécurité pour pouvoir se positionner en « donneur de leçons » ? Ou s'agit-il au contraire d'une très bonne initiative ?


En collaboration avec Gordon Fowler

[guilhem91]

Globalement, je dirais que c'est une bonne initiative, même si je reste partisan du "rendre tout public". En effet, c'est à mon avis le seul moyen pour décider une entreprise à publier une mise à jour rapidement. Dans le système prôné par Google, certes, la faille est finalement corrigée, mais avec un certain retard, et rien n'empêche un pirate déterminé de l'exploiter avant que la mise à jour ne soit publiée. De plus, qui fixera la date limite avant publication ?

Tandis qu'avec la stratégie "rendre tout public", au moins la correction des failles ne traîne pas. Et ça marche pas si mal : il n'y a qu'à voir Linux.

[GanYoshi]

Je suis pour faire en fonction de feeling qu'on a avec l'entreprise concerné.

Clairement si on veut les faire chier, on publie la faille directement, avec si possible un PoC.

Sinon on leur signale seulement en privé.

[dams78]

Je vais peut être dire une connerie, mais l'avantage du tout public ne serait pas aussi de prévenir "le public"? Parce que ce n'est pas parce qu'une faille n'est pas publié qu'elle n'est pas déjà utilisée... Alors qu'à l'inverse dire "attention il y a une faille avec le service x" permettrai aux utilisateurs de mettre en quarantaine ce service.

Sinon pour la charte de Google... c'est cool mais ça sent le double tranchant pour eux.

[guilhem91]

Je vais peut être dire une connerie, mais l'avantage du tout public ne serait pas aussi de prévenir "le public"? Parce que ce n'est pas parce qu'une faille n'est pas publié qu'elle n'est pas déjà utilisée... Alors qu'à l'inverse dire "attention il y a une faille avec le service x" permettrai aux utilisateurs de mettre en quarantaine ce service.

+1

[Flaburgan]

Et sinon, c'est pas exactement comme ça que fonctionne zataz ?
Un p'tit lien pour ceux qui connaissent pas leur procédure : http://www.zataz.com/alerte-virus/19...te--zataz.html

Google n'invente rien, une fois de plus, il se présente en sauveur et essaye d'améliorer son image, mais puisque c'est lui, tout le monde l'écoute...

[Oussapik]

Je vais peut-être dire une connerie, mais l'avantage du tout public ne serait pas aussi de prévenir "le public"? Parce que ce n'est pas parce qu'une faille n'est pas publié qu'elle n'est pas déjà utilisée... Alors qu'à l'inverse dire "attention il y a une faille avec le service x" permettrait aux utilisateurs de mettre en quarantaine ce service.

Je ne suis pas totalement d'accord. Oui, le public sera au courant. Mais, le problème reste le même concernant les failles qui touchent des utilisateurs lambda, monsieur ou madame toutlemonde.
Si un chercheur trouve une faille, qu'il la publie, alors les personnes averties seront :

• les connaisseurs en informatique
• les professionnels (et encore pas tous et de loin)
• les hackeurs

Du fait, ce principe de divulgation dit "tout rendre public" pose un souci pour les utilisateurs non experts. Ceux-ci seront vulnérables aux hackeurs mais ne sont pas au courant.
Donc oui, il y a des avantages au tout rendre public, mais il y a aussi des inconvénients.

Je trouve que le fait de publier en privé avec une date limite avant publication, c'est une bonne idée, qui n'est pas nouvelle, mais c'est une bonne idée. Par contre, il faudrait plus de précision sur comment déterminer cette durée avant divulgation publique.

[kaymak]

Je vais peut être dire une connerie, mais l'avantage du tout public ne serait pas aussi de prévenir "le public"? Parce que ce n'est pas parce qu'une faille n'est pas publié qu'elle n'est pas déjà utilisée... Alors qu'à l'inverse dire "attention il y a une faille avec le service x" permettrait aux utilisateurs de mettre en quarantaine ce service.

Sinon pour la charte de Google... c'est cool mais ça sent le double tranchant pour eux.

Pas forcément.
1/ car le public qui serait visé par cette annonce, soit s'en contre fou, soit n'en à pas conscience, soit n'à pas d'enjeu majeures.
Les admins ne sont pas toujours, loin de là, les premiers à lire les bulletins de sécurité, ni à appliquer les patchs (pour de bonnes ou mauvaises raisons). Le grand public est ignare sur le sujet. Les geeks, appliquent probablement le patch, mais en même temps tlm se fou de leur Odinateur.

2/ il reste que finalement ceux qui lisent le plus assidument les bulletins de sécurité sont les pirates eux mêmes.
Afin d'être capable d'exploiter le plus efficacement possible une faille nouvellement déclarée.

Hors aujourd'hui selon le type de faille, la rapidité de déploiement d'un virus est potentiellement vertigineuse.
Hors++, il est plus simple d'infecter trois millions de pc en quelques jours, que de patcher ces trois millions de pcs en quelques jours.

De même, on se rappellera qu'il est aujourd'hui plus rapide de produire un vers en utilisant un poc connu, que de patcher un OS avec tous les problèmes de qualimétrie / déploiement qui y sont liées.

Donc d'un point de vu global, c'est donc plus dangereux de publier une vulnérabilité.

Et sinon, c'est pas exactement comme ça que fonctionne zataz ?
Un p'tit lien pour ceux qui connaissent pas leur procédure : http://www.zataz.com/alerte-virus/19...te--zataz.html

Google n'invente rien, une fois de plus, il se présente en sauveur et essaye d'améliorer son image, mais puisque c'est lui, tout le monde l'écoute...

L'essentiel étant que la mesure soit prise et appliquée. C'est pour notre bien, le tien, le mien, celui de ton voisin etc.

a +

[Marco46]

@kaymak :

Je ne suis pas d'accord, parce que tu pars du principe que la publication permet aux pirates de découvrir l'existence de la faille ce qui n'est qu'une assertion gratuite et sans fondement. Tu n'en sais rien. La faille est potentiellement exploitée par d'autres puisqu'elle existe.

Donc publier la faille c'est forcer un éditeur à patcher tôt ou tard quelque chose qui est potentiellement déjà exploité par des pirates et qui ne l'aurait pas été sinon.

Donc, d'un point de vue global, on peut dire que c'est bénéfique.

Pour être plus clair, je ne nie pas que ce que tu avances comme hypothèse puisse arriver, je suis certain que les pirates lisent très attentivement les publications de failles, mais il faut tenir compte de tous les cas. Une faille non publiée et exploitée durant une longue période est bien plus dévastatrice à mon sens.

EDIT : Formulation

[Lyche]

De toute façon, que le grand publique ou non soit au courrant, ça ne l'empêchera pas de commetre la faute. Combien de fois vous avez dit à vos proches "n'utilisez pas un mot de passe trop simple pour vos boites mail" et combien de vos proches ont un mdp "forcebrutable" en 5minutes...

Prévenir les gens c'est bien, leur expliquer le pourquoi du comment de la chose, c'est autre chose.

[kaymak]

Hello,

C'est vrai que je suis un peu tranchant dans mon discours.

La publication des failles fait partie du processus d'élévation du niveau de sécurité.
C'est en partageant l'explication de leurs exploits que certaines personnes ont fait progresser la sécurité informatique.
Comme dans n'importe quel domaine de recherche il me semble.

Mais voilà les choses sont comme cela, les gens sont ainsi. Dès qu'un filon exploitable apparait, ils foncent dessus pour en profiter au maximum.
Il n'y a qu'à regarder à l'évolution du nombre de virus découvert ces dernières années, et les usages qui en sont fait.

Il y a une nette augmentation, et ce n'est que le début.

Maintenant concernant le problème des failles non découvertes et utilisées, qui sont effectivement dévastatrice.
Moi j'ai envie de dire que les gens qui découvrent ce genre de failles.
Sont soit,
- des chercheurs
- des pirates spécialisés dans l'espionnage

Concernant les pirates il est clair qu'ils ne souhaitent pas voir celle-ci s'ébruitée avant de l'avoir exploitée.

Pour les chercheurs par contre, la divulgation de cette information publiquement ne me semble pas devoir être automatique.
En effet même si cette information peut contribuer à élever le niveau de cette discipline.
il est peu probable que les autres chercheurs en aient besoin avant qu'elle ne soient corrigée.
Par contre, les éditeurs se doivent d'être suffisamment réactif pour éliminer la menace.
Et c'est là que l'argument de la publication, de son instantanéité, de son omni-disponibilité prend tout son poids.

Pour tenter de convaincre une dernière fois ces sociétés de prendre leur responsabilité.


@Lyche, oui, d'ailleurs sur linux ils ont toujours travaillé en ce sens, puisque comprenant la complexité de leur affaire, ils ont tous fais pour imposer l'utilisation d'un utilisateur aux droits restreints dans leur système d'exploitation.
Aidant de facto à garantir un certain niveau de sécurité.

a+

[Thes32]

Cette méthode prônée par Google propose de fixer une date limite de divulgation à toute vulnérabilité que les chercheurs rapportent aux éditeurs. La durée avant divulgation doit être proportionnelle à la gravité de la faille. La date limite peut être plus courte s'il existe des preuves que des pirates sont déjà à l'oeuvre.

Perso, je ne suis pas pour cette démarche. Les équipes ne seront pas à ne rien faire ! fixer les délais à un éditeur ne me semble pas logique.

[Louis Griffont]

Une fois de plus je suis POUR signaler (publiquement) l'existence d'une faille et CONTRE la publication d'un PoC qui est potentiellement plus dangereux que utile.

Kaymak, quand tu dis

@Lyche, oui, d'ailleurs sur linux ils ont toujours travaillé en ce sens, puisque comprenant la complexité de leur affaire, ils ont tous fais pour imposer l'utilisation d'un utilisateur aux droits restreints dans leur système d'exploitation.
Aidant de facto à garantir un certain niveau de sécurité.

C'est vrai uniquement parce que les utilisateurs de Linux sont des informaticiens. Si Linux était utilisé dans le grand public, le problème serait exactement le même que sous Windows, pour la simple raison que le plus gros point d'insécurité en informatique est l'utilisateur.

[Lyche]

C'est vrai uniquement parce que les utilisateurs de Linux sont des informaticiens. Si Linux était utilisé dans le grand public, le problème serait exactement le même que sous Windows, pour la simple raison que le plus gros point d'insécurité en informatique est l'utilisateur.

ne relançont pas le débat on sait toi et moi comment ça va finir

[Louis Griffont]

ne relançont pas le débat on sait toi et moi comment ça va finir

T'as raison, mais bon, ça m'énerve cette mauvaise foi, alors... mais bon, comme tu dis, nous savons toi et moi comment ça va se terminer.

[dams78]

T'as raison, mais bon, ça m'énerve cette mauvaise foi, alors... mais bon, comme tu dis, nous savons toi et moi comment ça va se terminer.

C'est vrai c'est dégueulasse la mauvaise foi .

Sinon pour en revenir à la publication des failles, vous partez du principe que les pirates attendent la publication des failles pour les utiliser. Mais d'un autre côté ils peuvent très bien être déjà au courant de ces failles, et les utiliser depuis longtemps. Personnellement ça ne m'étonnerai pas.

[Hellwing]

M'est avis que pour dix pirates exploitant une faille avant publication d'un PoC, il y en aura une bonne centaine après ladite publication (chiffres arbitraires).
Et donc beaucoup plus de victimes.

[Louis Griffont]

Sinon pour en revenir à la publication des failles, vous partez du principe que les pirates attendent la publication des failles pour les utiliser. Mais d'un autre côté ils peuvent très bien être déjà au courant de ces failles, et les utiliser depuis longtemps. Personnellement ça ne m'étonnerai pas.

Non, tu te trompes. Deux cas différents se présentent :

1) la faille est déjà connue des pirates et (bien évidemment) exploitée. La publiée ne sert qu'à permettre à d'autres pirates de s'en servir le temps de la correction

2) la faille est nouvelle et donc pas exploitée. Alors cela ouvre de nouvelles voies pour toutes les personnes malintentionnées, qui sont hélas trop nombreuses.

Dans tout les cas, la publication n'a servie que les pirates, ni les particuliers (qui ne sauront probablement jamais qu'il y a eu une faille), ni les professionnels qui devront s'assurer par tous les moyens d'un nouveau problème (comme s'ils n'avaient que cela à faire), ni l'éditeur du logiciel, qui de toute façon corrigera le problème selon son processus de correction (qu'il soit jugé rapide ou lent, n'entre pas en ligne de compte, un processus établit doit être respecté, il peut être remis en question, mais souvent il a de bonnes raisons d'être ainsi, raisons qu'une société externe n'a aucunement besoin de connaitre).

[dams78]

Non, tu te trompes. Deux cas différents se présentent :

1) la faille est déjà connue des pirates et (bien évidemment) exploitée. La publiée ne sert qu'à permettre à d'autres pirates de s'en servir le temps de la correction

2) la faille est nouvelle et donc pas exploitée. Alors cela ouvre de nouvelles voies pour toutes les personnes malintentionnées, qui sont hélas trop nombreuses.

Dans tout les cas, la publication n'a servie que les pirates, ni les particuliers (qui ne sauront probablement jamais qu'il y a eu une faille), ni les professionnels qui devront s'assurer par tous les moyens d'un nouveau problème (comme s'ils n'avaient que cela à faire), ni l'éditeur du logiciel, qui de toute façon corrigera le problème selon son processus de correction (qu'il soit jugé rapide ou lent, n'entre pas en ligne de compte, un processus établit doit être respecté, il peut être remis en question, mais souvent il a de bonnes raisons d'être ainsi, raisons qu'une société externe n'a aucunement besoin de connaitre).

3) la faille est connu uniquement des pirates, depuis qu'elle est rendu publique seuls des pirates amateurs ne connaissant pas cette faille essayent tant bien que mal de l'exploité (bah oui s'ils étaient bons ils auraient déjà été au courant). D'un autre côté les gentils hackers ont vent de cette faille et essayent de la patcher (plus de personnes = plus vite). Et comme il s'agit d'une énorme faille on en parle à TF1 comme pour la faille de sécurité où le gouvernement Allemand avait conseillé de ne plus utiliser IE temporairement. Enfin lorsque le patch sort les gens s'empressent de l'installer.

[Louis Griffont]

(plus de personnes = plus vite).

Faux ! Une équipe de 2 développeurs, bien dirigée par un staff technique sera mille fois plus efficace que 10000 développeurs travaillant chacun de son coté. Sans compté que laquelle des 10000 versions corrigées sera la plus fiable ? Difficile pour l'utilisateur final de s'y retrouver.