Discussion :

[Stéphane le calme]

Êtes-vous pour ou contre le fait de divulguer des failles
avant que les éditeurs n'aient eu le temps de les corriger ?

Pour comprendre la raison pour laquelle il est devenu si difficile de protéger des ordinateurs, même face à des attaquants « moyens », il faut s’intéresser au cas de la faille répertoriée CVE-2017-0199. La faille en elle-même n’est pas exceptionnellement dangereuse, même si, selon FireEyes, elle permettait à un pirate de télécharger et d'exécuter un script Visual Basic contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document Microsoft Office RTF contenant un exploit incorporé.

Lors de son traditionnel Patch Tuesday d’avril, qui a eu lieu comme à l’accoutumée le second mardi du mois, Microsoft a corrigé cette faille dans Word.

Cependant, Reuters souligne qu’il s’est écoulé 9 mois entre la découverte de la faille et sa résolution. Un temps que les pirates ont mis à profit pour lancer des attaques en s’infiltrant dans les dispositifs par cette vulnérabilité. « Le 25 janvier 2017, des documents servant d'appât faisant référence à un décret du ministère de la Défense de Russie et un manuel prétendument publié dans la "République populaire de Donetsk" ont exploité le CVE-2017-0199 pour fournir des charges utiles FINSPY. Bien que nous n'ayons pas identifié les objectifs, FINSPY est vendu par Gamma Group à plusieurs clients de l'État-nation, et nous évaluons avec une confiance modérée qu'il était utilisé avec la faille zero-day à des fins de cyberespionnage », a noté FireEye.

Un groupe de pirates s’en est également servi pour renforcer leurs tentatives de voler des millions de comptes en ligne dans des banques australiennes ainsi que celles d’autres pays.

Lorsque les chercheurs en sécurité du projet Google Zero découvrent une faille, ils donnent un délai qu’ils estiment « raisonnable » aux éditeurs pour qu’ils puissent la corriger (généralement 90 jours). Faute de quoi, ils la publient.

Tout a commencé en juillet dernier, lorsque Ryan Hanson, un diplômé de l'Université Idaho et consultant chez Optiv Inc à Boise, a trouvé une faiblesse dans la façon dont Microsoft Word traite les documents à partir d'un autre format. Ladite faiblesse lui a permis d'insérer un lien vers un programme malveillant qui prendrait le contrôle d'un ordinateur.

Reuters assure que Microsoft a confirmé cette série d’évènements.

Combinaison de failles

Hanson a passé quelques mois à combiner sa découverte avec d'autres failles pour voir si elle pouvait devenir plus dangereuse, comme il l’a déclaré sur Twitter. Puis, en octobre, il l’a déclarée à Microsoft. La société récompense souvent financièrement les chercheurs en sécurité qui identifient des failles dans la sécurité.

L’entreprise a reconnu qu’elle aurait pu résoudre le problème peu de temps après, mais que cela n’était pas si simple. En effet, un changement rapide dans les paramètres de Word par les clients aurait fait l’affaire, mais si Microsoft informait ses clients du bogue et des modifications recommandées, cela donnerait également aux pirates des indices sur la façon de contourner cette mesure.

Alternativement, Microsoft aurait pu créer un correctif qui serait diffusé dans le cadre de ses mises à jour mensuelles de logiciels. Mais la société n'a pas corrigé le défaut immédiatement et a opté pour approfondir son analyse : elle n'était pas consciente que quelqu'un utilisait la méthode de Hanson et voulait être sûre d'avoir une solution complète.

« Nous avons effectué une enquête pour identifier d'autres méthodes potentiellement similaires et pour nous assurer que notre solution corrective résout [sic] plus que le problème signalé », a déclaré Microsoft par l'intermédiaire d'un porte-parole qui a répondu aux questions par courrier électronique sous réserve de l'anonymat. « Il s'agissait d'une enquête complexe ».

Un enchaînement qui vient montrer que les progrès de l’industrie logicielle dans son ensemble ne suivent pas forcément le rythme des attaques à une époque où les enjeux augmentent de façon spectaculaire.

Comment des pirates ont-ils fait pour reproduire le bogue découvert par Hanson ? Nous n’avons pas la réponse. Toujours est-il qu’en janvier, alors que Microsoft travaillait sur une solution, les attaques ont commencé.

Les attaques initiales ont été soigneusement limitées à un petit nombre de cibles et sont donc passées sous le radar. Mais en mars, les chercheurs en sécurité de FireEye ont remarqué qu'un logiciel de piratage financier notoire connu sous le nom de Latenbot était distribué à l'aide du même bogue Word. En creusant plus loin, ils ont trouvé des attaques antérieures et ont averti Microsoft. La société, qui a confirmé avoir été mise en garde contre les attaques actives en mars, a lancé un correctif pour le Patch Tuesday du mois d’avril.

Une communication qui coûte cher

Un autre cabinet de sécurité, McAfee, a vu certaines attaques se servir de cette faille dans Microsoft Word le 6 avril. Après ce qu'il a décrit comme étant une « recherche rapide, mais approfondie », le cabinet a établi que le défaut n'avait pas été corrigé, a contacté Microsoft, puis a publié sa découverte le 7 avril.

La publication du blog contenait suffisamment de détails pour que d'autres pirates puissent reproduire les attaques. Raison pour laquelle d’autres professionnels de la sécurité des logiciels ont exprimé leur mécontentement du fait que McAfee n'a pas attendu que Microsoft corrige la vulnérabilité, comme Optiv et FireEye l’ont fait.

En guise d’excuse, le vice-président de McAfee, Vincent Weafer, a déclaré qu’il s’agissait là « d’un problème dans nos communications avec notre partenaire Microsoft », sans élaborer.

Néanmoins le mal était déjà fait. Le 9 avril, un programme visant à exploiter cette faille a été mis en vente sur le darknet, comme l’a expliqué John Hultquist, chercheur de FireEye. Le lendemain, les attaques s’appuyant sur cet outil étaient lancées.

Source : Reuters, FireEye

[abriotde]

Le système habituel est juste : On annonce la faille a l'éditeur en premier et on lui donne un délais (qui peux varier en fonction de la gravité.) En cas d’inaction, on publie la faille de manière bruyante dans les grands média public pour faire de la mauvaise pub en expliquant la démarche complète.

[Alvaten]

Attendre un minimum est indispensable pour moi. En publiant la faille, certes ça fait une mauvaise pub à l'éditeur et ça l'encourage fortement à agir mais en même temps ça met peux mettre en danger les utilisateurs qui n'ont rien demandé à personne.

Avant d'envoyer à la presse la démarche complète, je commencerai par envoyer à la presse l'information comme quoi on à trouvé une faille avec des explications sans que n'importe qui d'un tant soit peu connaisseur puisse l'exploiter.

[survivals]

Oui parce qu'il faut absolument pouvoir mettre des mesures en place en parallèle.

[Invité]

Comme l'explique l'article, découvrir une faille est une chose mais la corriger proprement n'est pas toujours simple.

Je trouve quand même étonnant que les chercheurs de Google Zero décident unilatéralement de divulguer une faille non patchée sur le produit d'un concurrent.
Quand bien même le temps mis à patcher leur semble à eux trop long, la méthode me laisse perplexe.

[emutramp]

Pour ma part ça dépend de l’éditeur*:

Une cms tenu par une équipe de bénévole, pas forcement connu mais ou les $ ne sont pas le moteur de motivation, pour être correct, prévenir les développeur me semble la chose a faire.

Maintenant Wordpress, Drupal, IOS, Windows, produit de Google... très largement financé par une multitude de multinational et gouvernement mérite d’être réveillé avec un zeroday publiquement balancé par le/les chercheurs.

[MikeRowSoft]

Les critères d'apparitions de failles de sécurités sont ?
Qui le savait déjà ? (à l'avance ?)

[dbr07]

Ce fait perdrait son sens si la divulgation est faite après la correction.
Mais je pense dans certains cas, il faut contacter la société. Surtout pas les médias sinon en moins d'un cette faille fera la une de la presse et bonjour les ptits malins... Comme l'a dit l'autre ce sont des infos de plusieurs utilisateurs qui sont compromis...

[Paul75j]

Je suis pour, mais il faut penser à mettre les mesures nécessaires en place afin que les hackers ne puissent pas en profiter.

[thelinuxian]

Bonsoir


je suis pour car dans le cas ou la faille n'est pas rendu public( après les 90 jours et avoir prévu l'entreprise) la faille aurait une priorité moindre et l'utilisateur en paye le prix quand on paye une programme on s'attend que le logiciel soit impeccable ou du moins que les failles soit patchées

[joublie]

Wordpress, Drupal, IOS, Windows, produit de Google, etc., très largement financés par une multitude de multinationales et gouvernements méritent d’être réveillés avec un zeroday publiquement balancé par les chercheurs

L'argument du gros financement n'est pas suffisant à justifier une divulgation intempestive de faille car même dans les meilleures structures de développement les bogues sont inévitables, y compris à la NASA (qui, à ma connaissance, a détenu le meilleur taux de bogues au monde). L'argent n'en vient pas à bout comme par magie car il faut aussi des compétences disponibles, or celles-ci ne sont pas illimitées, même en y mettant le prix.