Petit déjeuner du FIC (Forum International de cybersécurité), ce matin sur la recherche de vulnérabilités. Comment faire pour que les gentils puissent tranquillement faire ses recherches sans risque, tout en empêchant les méchants de rechercher des vunérabilités pour les vendre à des salopards de trafiquants comme NSO fr.wikipedia.org/wiki/NSO_Grou ?

Un chercheur raconte qu'il avait trouvé une faille inconnue dans un logiciel. Il cherche le site Web du vendeur pour trouver comment les prévenir. Le site dit « écrivez à security@company.example » (pas de PGP, évidemment). Le chercheur écrit et, dix minutes après, reçoit un avis de non-remise « Mailbox full ».

(Un cas extrêmement classique. Encore plus fréquent est celui où le message disparait dans un trou noir.)

« Dans beaucoup de cas, la seule façon d'obtenir que le vendeur de logiciel réagisse à un signalement de vulnérabilité, c'est d'interpeller le CM sur Twitter. »

@Natouille

Certains éditeurs ont des processus internes très longs. Outre les vulnérabilités publiques, et les « premier jour » (pas encore connues de l'éditeur), il y a des nombreuses vulnérabilités connues mais pas encore réparées, en raison de la lenteur de ces processus (il cite Microsoft comme exemple de lenteur, qui a montré son bug tracker au chercheur pour le convaincre qu'ils étaient au courant).

« D'un autre côté, quand on voit qu'on ne peut pas écrire un script de dix lignes sans faire une bogue, on peut comprendre la prudence des éditeurs. »

Dans le chat (miaou) « Les vulnérabilités du premier jour ne sont qu'une minorité des attaques, loin derrière des vulnérabilités connues mais pas patchées ou pas déployées. »

Un orateur note que, pour un chercheur en sécurité, vendre sa découverte à un vendeur d'armes numérique (comme NSO ou Zerodium) est paradoxalement moins risqué (juridiquement et financièrement) que de jouer les gentils et de signaler la faille.

Il est fréquent qu'être le salaud rapporte plus qu'être le gentil, question brouzoufs. Mais une particularité de la recherche de vunérabilités des logiciels est qu'être le salaud est également moins risqué juridiquement. (Les chercheurs de bonne foi se tapent souvent des procès.)

Bref, discussion sur comment convaincre les chercheurs en vulnérabilité d'être « éthiques » (ne pas vendre aux trafiquants d'armes numériques.)

On voit qu'on fait de l'informatique, ça parle franglais. « Un bug bounty permet de découvrir des zero days avant qu'ils ne soient weaponisés. »

« Il faut avoir des développeurs compétents et formés. Et il faut les payer. »

Je crois que le directeur financier va être ravi quand on lui proposera cela.

Sign in to participate in the conversation
Mastodon - Gougère Network

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!