:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Trop causer nuit ?
Cela faisait bien longtemps que Bruce Schneier n’avait jeté un pavé dans la mare du « full disclosure », cette divulgation responsable qui consiste à communiquer publiquement les détails techniques d’une faille ou d’une possibilité d’exploitation. Il aura fallu attendre l’affaire du MBTA, la régie des transports Bostoniens dont la vulnérabilité de la billetterie devait faire l’objet d’une conférence à l’occasion de la Black Hat de Las Vegas.
Le père de Twofish déplore que la publication des détails des recherches, conduites par des étudiants du MIT travaillant sous la direction de Ron Rivest, n’ait pu être effectuée à temps : « the damage is done », dit la Voix démocrate de la Sécurité Américaine.
Schneier semble d’un pessimisme certain. Car si jamais la Régie Bostonienne n’avait fait preuve de frilosité procédurière, la communication de l’équipe du MIT serait très probablement tombée dans les poubelles de la gloire. Qui se souvient encore du hack des forfaits de ski RFID des stations de sport d’hiver Suisses dans les colonnes de RFIdiot ? Et, hormis quelques experts, peut-on jurer que l’attaque Man in the Middle de Melanie Rieback soit encore dans toutes les mémoires ? Désormais, et ce surtout depuis la levée de l’injonction par un juge Fédéral, il y a fort à parier que le ban et l’arrière ban du monde sécurité souhaite se ruer sur les détails techniques de la communication en question : le MBTA a plus travaillé pour l’antenne communication du MIT que pour la préservation de sa propre image de marque.
Là où, en revanche, Schneier marque un point important en rappelant une vérité souvent oubliée, c’est lorsqu’il insiste sur le fait que les recherches de vulnérabilités ne sont pas le seul fait des chercheurs. Les pirates et auteurs de malware n’attendent pas qu’un Maynor, un Litchfield, un Liu Die Yu ou un Rainforest Puppy tiennent salon dans les tribunes d’une Defcon. Contraindre un chercheur au silence, explique-t-il depuis des années, c’est exposer les usagers d’un programme ou d’un équipement à vivre en permanence dans l’ignorance d’un danger. Et par voie de conséquence, de ne pouvoir prévoir de mesure palliative. Ce qui, par un effet d’osmose, se découvre dans les labos des « white hack » connaît peu ou prou des développements similaires dans les officines des pirates… l’imposition d’un secret ne supprime pas la menace et le risque.
Les réactions des éditeurs, continue le fondateur de Counterpane, sont essentiellement viscérales, irréfléchies. L’on pourrait les comparer à celles des parents dont l’enfant a été pris en otage. Pourquoi la police refuse-t-elle de verser la moindre rançon à un preneur d’otages ? Précisément parce que cela encouragerait le business de la prise d’otage. Ce qui, émotionnellement, ne peut être accepté par la mère d’un enfant kidnappé. Il y aura toujours un MBTA, un fabricant de serrures, un éditeur de navigateur Web qui réagira comme une mère de famille. Est-ce une raison pour que nos sentiments d’empathie l’emportent sur la raison et penchent en faveur d’une censure des recherches ? Certes non. Chaque jour, le « full disclosure », la divulgation autodéterminée et auto-raisonnée des chercheurs incite les éditeurs et équipementiers à améliorer la qualité de leurs produits. Sans cet aiguillon, bien des failles demeureraient béantes, en vertu du principe de « sécurité par l’obscurantisme » : les défauts de sécurité dont on ne parle pas ne sont pas connus, donc non exploités. Charmante comptine pour enfant qui consiste à dire que les loups n’existent pas. Hélas, les loups existent, introduits dans un monde qui ne sait pas toujours les combattre. Hélas, certaines mesures de protection trop propriétaires ne sont pas toujours très efficaces, parfois même, à l’instar des chiens patou bien plus dangereux qu’un pitbull.
Ndlc Note de la correctrice : « Trop causer nuit, trop taper cuit » est le titre d’une pièce de Guignol (le véritable, celui de Laurent Mourguet) écrite vers la fin du XIXème siècle, quelque part entre la côte Cent moin’un et la loge de la Mère Cotivet.
|
