Discussion :

[Cedric Chevalier]

Pour ou contre la publication des failles avant la sortie d’un correctif ?
Un ingénieur de Google divulgue les détails sur une vulnérabilité Zero-day dans Windows


Tarvis Ormandy est un ingénieur talentueux travaillant pour le compte de Google. C'est aussi un expert en sécurité dont les travaux avaient conduit à la découverte d'une vulnérabilité vieille d'au moins 17 ans affectant tous les noyaux 32 bits de Windows. Ladite vulnérabilité conférait aux hackers des niveaux de privilèges élevés une fois exploitée.

Décidément notre ingénieur à une attention toute particulière pour la plateforme Microsoft. Récemment encore, le même homme a rendu publique une autre vulnérabilité critique affectant le noyau pour les systèmes Windows 7 et 8.

La firme de recherche en sécurité Secunia a d'ailleurs confirmé les résultats de l'expert. Pour la firme, la vulnérabilité est présente sur les systèmes Windows 7 à jour, ainsi que sur Windows 8. D'après elle, la vulnérabilité peut être exploitée pour effectuer des attaques DoS, ou encore accroître le niveau de privilège d'un hacker.

Comme par le passé, Ormandy a une choisie de publie un code pour exploiter cette nouvelle vulnérabilité (code déjà disponible pour Metasploit). Pourtant, la découverte des failles par des experts en sécurité est souvent maintenue secret jusqu’à correction de celles-ci.

Son attitude de rendre publique une vulnérabilité ainsi que le code associé pour l'exploiter sans au préalable informé l'entreprise concernée par un canal privé, afin de lui donner le temps nécessaire pour préparer un patch a été vertement critiquée par Microsoft et d'autres experts en sécurité indépendants.

Ormandy justifie ce geste par le fait qu’il serait assez difficile de collaborer avec Microsoft sur la sécurité de ses solutions.

Un avis que ne partage pas Graham Cluley, expert en sécurité chez Sophos, qui a déclaré TheVerge que « l'équipe de sécurité de Microsoft fait un excellent travail » et recommande aux les chercheurs en sécurité de « travailler étroitement avec Microsoft afin de corriger les problèmes de manière responsable, plutôt que de prendre le risque de favoriser les pirates ».



Source: Secunia, Blog Ormandy, seclists

Et vous ?

Etes-vous pour la divulgation publique des failles avec PoC avant que l'éditeur de la solution ne soit informé ?

Sachant que Google et Microsoft sont deux firmes concurrentes, comment pourrait-on qualifier l'attitude d'Ormandy ? normale ou préméditée ?

Pour vous, doit-on normaliser le processus conduisant à la publication d'un patch de sécurité afin que de telles situations ne se reproduisent à l'avenir ?

[transgohan]

Pour le coup je suis assez du côté de M$...
Cet ingénieur a de nombreuses fois qualifié le code de windows comme étant une immondice que ses yeux ne pouvaient regarder et qu'il ne pourrait donc travailler de concert avec les incompétents qui s'en occupent.

Bref c'est pas tellement une news que de lire ça.

[VivienD]

Selon moi, la bienséance voudrait que celui qui découvre une faille d'une solution informe directement l'éditeur de cette dernière et se garde de publier tout algorithme ou programme visant à exploiter la dite vulnérabilité. L'utilisateur n'a pas à subir la moindre conséquence négative de la fierté mal placée de l'éditeur ou de l'auteur de cette découverte.
Alors, comment qualifier l'attitude d'Ormandy? Irrespectueuse de l'utilisateur, voire criminelle, si tant est que cette publication fût préméditée. En revanche, s'il est vrai qu'il est difficile de travailler avec Redmond sur la sécurité de ses solutions «malgré» les dénégations de cette firme, alors il s'avère que Microsoft donne dans la puérilité, on ne peut plus irresponsable.

Sur ce, adishatz.

[LSMetag]

D'un autre côté, ça donne une bonne raison à Microsoft de se bouger les fesses pour faire rapidement un correctif ^^'

[Bestel74]

Vu ce qu'il publie sur son blog, ça peut se comprendre non ?

If you solve the mystery and determine this is a security issue, send me an email and I'll update this post. If you confirm it is exploitable, feel free to send your work to Microsoft if you feel so compelled, if this is your first time researching a potential vulnerability it might be an interesting experience.

Note that Microsoft treat vulnerability researchers with great hostility, and are often very difficult to work with. I would advise only speaking to them under a pseudonym, using tor and anonymous email to protect yourself.

Je serais lui je travaillerai à la recherche de faille sous Linux

[cbleas]

Cet ingénieur a de nombreuses fois qualifié le code de windows comme étant une immondice que ses yeux ne pouvaient regarder et qu'il ne pourrait donc travailler de concert avec les incompétents qui s'en occupent.

Quant on voit le nombre de Malware qui fleurissent sur android je pense que son patron (Google) devrait l'utiliser à sécuriser ses propres produits.
Maintenant Que ce passerait il si les concurrents de Google commençaient à mettre un peu de leurs ressources a chercher les failles d'Android et à les publier.
A non pas besoin ce doit etre le code d'Android qui lui doit etre parfait et si bien écrit Qu'il est si facile a produire des malwares.
Maintenant tout code aura toujours des Bugs, des failles alors les publier avant correctif n'aura qu'un impact et se sera l'utilisateur final qui sera impacté.
Pour créer des programmes je sais qu'il est difficile de juger de la qualité d'un code à partir du moment ou il fait ce que l'on demande.
Mais je ne comprend pas pourquoi quelqu'un qui trouve que du coté de Microsoft il n'y a que des incompétents et des programmes immondes passe sont temps libre à le décortiquer est t il un peu Maso

[abriotde]

Je pense que cela fait partie d'un devoir éthique d'informer la société éditrice du logiciel (Microsoft en l’occurrence ici) en premier. Cependant il est vrai que certaines société ensuite mettent peu d'entrain a corrigé les problème. Il est alors tout aussi éthique de révéler la faille a tous afin d’obliger sa correction. La question est combien de temps doit on attendre? Une semaine, un mois?

Ici on est dans une affaire qui s'est envenimé car il y a beaucoup d'enjeux et que Microsoft avait un comportement inacceptable qui a poussé les experts a publié les failles... Microsoft a peut-être corrigé le tir les inimitiés restent.

Androïd n'est pas truffé de faille... Le problème c'est que les applications ont le droit d'avoir accès a tout si l'utilisateur accepte (Mais a moins de choses que sur un PC). A la différence des PC les smartphones ne sont pas muni d'anti-virus efficace car entre autre la puissance manque.

[tp1024]

Dans le monde des hackers, les informations circulent très bien et très vite.
Ça n'a pas du changer.
Que celui qui découvre la faille la rende publique ou non, ça ne changera pas grand chose à l'exploitation que les hackers font de la faille.

Mais la publication de la faille permet aux autres acteurs utilisant le même logiciel de faire attention et éventuellement se protéger.

Quelque part, publier la faille la rend moins nocive.

edit:
Bien sur, il faut en premier avertir la société éditrice du logiciel.

edit 2:
Je pense qu'il est dommage de cibler uniquement M$. Dernièrement Oracle s'est fait remarqué avec Java. Android n'est pas exempt de reproche, etc...

C'est l'informatique qui s'est emballé dans une frénésie de nouveautés et semble moins accorder d'importance à la sécurité.
Est ce que les sociétés ne se reposent pas trop sur les antivirus/firewall et les sociétés éditrice de logiciels de sécurité, plutôt que d'investir pendant la phase de développement sur un code plus fiable?

[transgohan]

Quant on voit le nombre de Malware qui fleurissent sur android je pense que son patron (Google) devrait l'utiliser à sécuriser ses propres produits.
Maintenant Que ce passerait il si les concurrents de Google commençaient à mettre un peu de leurs ressources a chercher les failles d'Android et à les publier.
A non pas besoin ce doit etre le code d'Android qui lui doit etre parfait et si bien écrit Qu'il est si facile a produire des malwares.
Maintenant tout code aura toujours des Bugs, des failles alors les publier avant correctif n'aura qu'un impact et se sera l'utilisateur final qui sera impacté.
Pour créer des programmes je sais qu'il est difficile de juger de la qualité d'un code à partir du moment ou il fait ce que l'on demande.
Mais je ne comprend pas pourquoi quelqu'un qui trouve que du coté de Microsoft il n'y a que des incompétents et des programmes immondes passe sont temps libre à le décortiquer est t il un peu Maso

Mon message a semble-t-il été mal interprété...
Il est à lire dans le sens où cet ingénieur google ne peut regarder en face M$ et ses applications sans vomir... Donc il est normal de constater qu'il ne veut pas travailler de concert avec leur équipe pour la résolution des failles.
Je ne suis pas là pour juger de la qualité des logiciels M$, j'en utilise tous les jours sans avoir le moindre souci.

[MRick]

Un chercheur en sécurité devrait toujours contacter en premier l'éditeur du logiciel dans lequel il a trouvé une faille.

Après, certains éditeurs ne jouent pas le jeu, et font volontairement trainer les choses quand il s'agit de corriger des vulnérabilités.
C'est notamment le cas d'Oracle qui essuie de nombreux déboires avec Java, et qui a été aussi remarqué lors de la correction d'une faille dans MySQL qui a trainé très longtemps, alors que la même faille dans MariaDB (un fork de MySQL) était corrigée depuis longtemps.

Au bout d'un moment, quand l'éditeur a été prévenu mais qu'il refuse toujours d'allouer des moyens pour corriger la faille, il est normal aussi que la faille soit divulguée, pour mettre la pression sur l'éditeur.

Concernant Microsoft, en dehors de Travis Ormandy et quelques autres chercheurs de chez Google, plusieurs chercheurs en sécurité donnent des échos plutôt positifs, même si le temps de développement et de test des correctifs est encore relativement long (2 à 6 mois en général). L'impression que j'ai en lisant plusieurs sources différentes, c'est que Microsoft prend réellement et rapidement en compte les problèmes de sécurité qu'on leur signale, mais qu'ils ont derrière des processus un peu lourd qui font que les correctifs tardent un peu.

Mais d'autres éditeurs sont régulièrement dénoncés pour un total immobilisme, préférant allouer des ressources au développement d'une nouvelle version plutôt qu'à la correction d'une version en cours de support.


Enfin concernant Google, il faut reconnaitre qu'ils sont très rapides pour corriger les problèmes, ça s'est vu notamment depuis le concours "Pwn2own 2013", tous les éditeurs ont vu leur produits troués par les chercheurs en sécurité. Le produit le plus rapidement corrigé a été Chrome, et puis Internet Explorer a été corrigé le 14 Mai dernier. Mais certains de ces produits dont les failles ont été démontrés il y a près de 3 mois maintenant, ne sont toujours pas corrigés (C'est le cas de Oracle-Java il me semble).


Je pense donc qu'il y a une dose de mauvaise foi de la part de Travis Ormandy et/ou Google.


Enfin pour ceux dénoncent les malwares sous Android, le sujet m'intéresse, j'aimerais savoir si il y a réellement des vulnérabilités exploitées par des malware sous Android. Quelques exemples seraient les bienvenus.

Pour l'instant, dans 99,9% des cas que j'ai étudié il n'y a pas de faille de sécurité utilisée par les malware Android. Ce sont les utilisateurs eux même qui installent volontairement des applications, et acceptent (sans les lire) les conditions d'accès à leur terminal. Ça peut arriver avec Google Play, mais le risque est décuplé quand on va chercher une application dans un store alternatif. Quand a télécharger sur un site russe la version gratuite d'une application qui est payante dans Google Play, c'est vraiment de la bêtise (il n'y a pas d'autre mot), et les utilisateurs qui font ça méritent bien ce qui leur arrive.

Le 0,1% des cas, c'est quand on télécharge une application sur Google Play, qu'on vérifie ce à quoi elle demande d'accéder, qu'il n'y a rien de louche. Et puis un peu plus tard on reçoit une mise à jour de l'application qui accède à des choses qu'elle ne devrait pas. Et dans certains cas l'utilisateur ne pouvait pas voir la liste des ressource accédées.

[la.lune]

Quand il y a des failles dans des systèmes utilisés par le grand public, il faut informer les gens et donner la solution pour se protéger contre les dégâts que ces failles peuvent causer. C'est ce qui se passe quand il y a une faille sur java, Adobe reader/flash ...
Et personne n'a jamais dit que cela devrait passer confidentiellement entre celui qui a découvert la faille et l’entreprise concerné. On publie par ce que ce sont les utilisateurs qui sont exposés au danger.

Car le moment qu'un chercheur découvre une faille qui nous dit qu'il n y a pas déjà des pirates qui l'exploitent?

Mais seulement la question ici c'est quand il y avait une faille sur le plugin de java on nous disait de désactiver le plugin et d'autres plus stricte nous demande de le désinstaller carrément de l'ordinateur, et maintenant avec cette faille sous Windows que faire en tant qu'utilisateur qui craint d'être victime

[gangsoleil]

Un chercheur en sécurité

Tout le probleme est la : est-ce que cette personne est en premieur lieu chercheur en securite, ou bien anti-microsoft ? Ses propos ne laissent que peu d'ambiguite quant a la verite.

Enfin concernant Google, il faut reconnaitre qu'ils sont très rapides pour corriger les problèmes, ça s'est vu notamment depuis le concours "Pwn2own 2013", tous les éditeurs ont vu leur produits troués par les chercheurs en sécurité.

Ca fait partie des cotes "cool" que Google met en permanence en avant, notamment pour ameliorer son image : "Nous on est open, on fait meme des concours pour que vous trouviez des vulnerabilites sur nos produits, on ne vous poursuit pas (encore) si vous en trouvez une".

[la.lune]

Ca fait partie des cotes "cool" que Google met en permanence en avant, notamment pour ameliorer son image : "Nous on est open, on fait meme des concours pour que vous trouviez des vulnerabilites sur nos produits, on ne vous poursuit pas (encore) si vous en trouvez une".

En tout cas placer plus d'un millions de dollard pour les personnes qui découvrent des failles de sécurité ce n'est pas un jeu. Si Google n'assure pas une politique de sécurité de haut niveau n'allait jamais lancer ces concours, car sinon il aurait des surprises, 60 000 dollard pour avoir découvert une faille sous chrome, ce n'est pas un petit montant!

Pour moi qu'ils restent avec leurs concurrences par ici par là ça ne me regarde pas, moi en tant qu'utilisateur je veux juste être à l'abris du danger.

[Hellwing]

Pour moi qu'ils restent avec leurs concurrences par ici par là ça ne me regarde pas, moi en tant qu'utilisateur je veux juste être à l'abris du danger.

Pour quelles raisons penses-tu être plus à l'abri avec des failles publiées avant même que l'éditeur aie pu faire quoi que ce soit, que s'il en avait été informé et donc eu la possibilité de réagir rapidement (je parle bien de possibilité) ?

Je ne comprends pas ton raisonnement.

[la.lune]

Pour quelles raisons penses-tu être plus à l'abri avec des failles publiées avant même que l'éditeur aie pu faire quoi que ce soit, que s'il en avait été informé et donc eu la possibilité de réagir rapidement (je parle bien de possibilité) ?
.

L'éditeur ne va jamais le publié. Il va attendre qu'il prépare un correctif pour nous demander d'installer le patch, durant toute cette période des gens vont l'exploiter sans nous rendre compte. Pour le cas de windows j'ai bien posé la question moi aussi: que faire étant donné que c'est un système d'exploitation, ce n'est pas comme java, ou adobe reader par exemple que tu peux juste de priver de les utiliser, en les désinstallant ou en désactivant? Possible on va installer une autre version non vulnérable dans une autre partition, en attendant la sortie d'un correctif.

Ceci n'est pas une simple blague, en entreprise les dégâts sont très énormes en cas d'exploit d'une faille.

[Pelote2012]

Au moins MS à de quoi faire quelques économie. Ce chevalier leur fourni un excellent travail et est payé par Google. C'est ce qu'on pourrait appeler un beta testeur.

Sinon je suis pour la divulgation. Car 2 choses :
1/ La correction sera faite (normalement assez rapidement)
2/ Mieux vaut quelle soit connue que tenue secrète et quand même exploitée

[papy88140]

la réflexion sur la divulgation des failles de sécurité est intéressante.

de mon point de vue, il faudrait avertir la société éditrice avant de diffuser
tout exploit, mais rien n'empêche d'avertir les utilisateur de l'existence d'un
problème sur un point donné d'un logiciel (et éventuellement expliquer
comment désactiver le composant fautif) étant donné que l'exploit est
surement déjà utilisé.

Par contre, ce qu'il ne faut pas confondre, c'est faille de sécurité et malwares.

Les malwares sont la plupart du temps installés volontairement par les
utilisateurs (consciemment ou non), alors que les failles sont exploitables
sans leur consentement.

Pour réduire la diffusion des malwares, il faudrait :
- des utilisateurs mieux formés ( c'est rien de le dire :-/ )
- des système plus explicitent quand aux risques lors de l'installation des
logiciels.
Genre les droits demandés lors de l'installation, ils devraient s'afficher de
couleur différent suivant le niveau "critique" de leur utilisation potentielle.
(accès aux données, au gps, ...)
Mais quel éditeur d'OS ferait ça ?
Il faudrait mettre l'utilisateur au premier plan et ce n'est pas la réoccupation
première de sociétés dont le but n'est que de faire de l'argent ...

Pour se rendre compte de la difficulté de concilier programmation et
entreprise, jetez un oeil sur
http://www.pcworld.fr/logiciels/actu...e,538515,1.htm
et sur
http://blog.zorinaq.com/?e=74

[Tetrix]

Petite coquille :

Son attitude de rendre publique une vulnérabilité ainsi que le code associé pour l'exploiter sans au préalable informer l'entreprise concernée par un canal privé

Sinon je trouve que ce bonhomme fait bien son boulot de soldat Google anti-Microsoft, au détriment de toute éthique.