IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google veut réinventer les règles de divulgation des failles
Avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs

Le , par Idelways
92 commentaires

0PARTAGES

3  0 
Après avoir été impliqué indirectement dans l'affaire Ormandy (et le débat qui déchaine encore les passions sur l'éthique de la divulgation des failles), Google vient de publier à une sorte de guide de bonne conduite destiné à ses chercheurs en sécurité.

Moutain View invite également le reste de la communauté IT à s'y conformer.

Le groupe des chercheurs de Google qui ont publié cet ensemble de recommandations sur le blog de l'entreprise estiment que la « divulgation responsable » semble être la plus saine mais est souvent à l'origine de laxisme de la part de de certains éditeurs.

L'approche inverse, « rendre tout public », serait quant à elle, et malgré son irresponsabilité apparente, la meilleure façon d'améliorer la sécurité puisqu'elle met la pression sur les entreprises dont les produits sont touchés par les failles. Mais elle peut également être dangereuse en donnant des méthodes quasiment clef en main aux pirates.

Google plaide donc pour un juste milieu. Cette nouvelle politique de divulgation des failles a pour but d'inciter les entreprises, qui comptent trop souvent sur la divulgation responsable, à être vertueux par eux-même en corrigeant les vulnérabilités dans des délais raisonnables.

Cette méthode prônée par Google propose de fixer une date limite de divulgation à toute vulnérabilité que les chercheurs rapportent aux éditeurs. La durée avant divulgation doit être proportionnelle à la gravité de la faille. La date limite peut être plus courte s'il existe des preuves que des pirates sont déjà à l'oeuvre.

Tout refus de correction (ou le dépassement de la date limite) entrainerait automatiquement la publication de la vulnérabilité.

Si l'idée est bonne, elle place aussi Google dans la position du Chevalier Blanc de la sécurité informatique. Et elle légitime également les décisions de son ingénieur, Travis Ormandy, en visant, sans le dire ouvertement, Microsoft.

Reste à savoir si le groupe de hackers anonymes qui a décidé de s'attaquer aux produits de Redmond pour venger les « diffamations » et le « mépris » envers les experts en sécurité affiché par Microsoft respecteront, eux aussi, cette charte de bonne conduite.

Source : Blog de Google Online Security

Lire aussi :

Un groupe anonyme veut se venger de Microsoft après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas

Les rubriques (actu, forums, tutos) de Développez :

Securité
Systèmes
Développement Web

Et vous ?

Google vous parait-il être à ce point à la pointe de la sécurité pour pouvoir se positionner en « donneur de leçons » ? Ou s'agit-il au contraire d'une très bonne initiative ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-nous-la !

92 commentaires
Commenter Signaler un problème
kaymak
Avatar de kaymak
Membre émérite https://www.developpez.com
Le 22/07/2010 à 16:48
Citation Envoyé par dams78 Voir le message
Je vais peut être dire une connerie, mais l'avantage du tout public ne serait pas aussi de prévenir "le public"? Parce que ce n'est pas parce qu'une faille n'est pas publié qu'elle n'est pas déjà utilisée... Alors qu'à l'inverse dire "attention il y a une faille avec le service x" permettrait aux utilisateurs de mettre en quarantaine ce service.

Sinon pour la charte de Google... c'est cool mais ça sent le double tranchant pour eux.
Pas forcément.
1/ car le public qui serait visé par cette annonce, soit s'en contre fou, soit n'en à pas conscience, soit n'à pas d'enjeu majeures.
Les admins ne sont pas toujours, loin de là, les premiers à lire les bulletins de sécurité, ni à appliquer les patchs (pour de bonnes ou mauvaises raisons). Le grand public est ignare sur le sujet. Les geeks, appliquent probablement le patch, mais en même temps tlm se fou de leur Odinateur.

2/ il reste que finalement ceux qui lisent le plus assidument les bulletins de sécurité sont les pirates eux mêmes.
Afin d'être capable d'exploiter le plus efficacement possible une faille nouvellement déclarée.

Hors aujourd'hui selon le type de faille, la rapidité de déploiement d'un virus est potentiellement vertigineuse.
Hors++, il est plus simple d'infecter trois millions de pc en quelques jours, que de patcher ces trois millions de pcs en quelques jours.

De même, on se rappellera qu'il est aujourd'hui plus rapide de produire un vers en utilisant un poc connu, que de patcher un OS avec tous les problèmes de qualimétrie / déploiement qui y sont liées.

Donc d'un point de vu global, c'est donc plus dangereux de publier une vulnérabilité.

Et sinon, c'est pas exactement comme ça que fonctionne zataz ?
Un p'tit lien pour ceux qui connaissent pas leur procédure : http://www.zataz.com/alerte-virus/19...te--zataz.html

Google n'invente rien, une fois de plus, il se présente en sauveur et essaye d'améliorer son image, mais puisque c'est lui, tout le monde l'écoute...
L'essentiel étant que la mesure soit prise et appliquée. C'est pour notre bien, le tien, le mien, celui de ton voisin etc.

a +
9  1 
Louis Griffont
Avatar de Louis Griffont
Inactif https://www.developpez.com
Le 23/07/2010 à 13:10
Une fois de plus je suis POUR signaler (publiquement) l'existence d'une faille et CONTRE la publication d'un PoC qui est potentiellement plus dangereux que utile.

Kaymak, quand tu dis
@Lyche, oui, d'ailleurs sur linux ils ont toujours travaillé en ce sens, puisque comprenant la complexité de leur affaire, ils ont tous fais pour imposer l'utilisation d'un utilisateur aux droits restreints dans leur système d'exploitation.
Aidant de facto à garantir un certain niveau de sécurité.
C'est vrai uniquement parce que les utilisateurs de Linux sont des informaticiens. Si Linux était utilisé dans le grand public, le problème serait exactement le même que sous Windows, pour la simple raison que le plus gros point d'insécurité en informatique est l'utilisateur.
5  0 
Lyche
Avatar de Lyche
Expert éminent https://www.developpez.com
Le 26/07/2010 à 11:17
Et si au lieu de faire des PoC publiques on avait un organisme de gestion des failles qui soit au courrant ainsi que l'entreprise. Avec un système qui permet de mettre la pression aux boites afin qu'elles se bougent les fesses, sans pour autant avoir une répercussion publique trop importante. Cela limite les problèmes d'une divulgation de masse et ça permet d'avoir un suivi "efficace" si tanté que l'on puisse réellement d'efficacité.
5  0 
kaymak
Avatar de kaymak
Membre émérite https://www.developpez.com
Le 22/07/2010 à 22:24
Hello,

C'est vrai que je suis un peu tranchant dans mon discours.

La publication des failles fait partie du processus d'élévation du niveau de sécurité.
C'est en partageant l'explication de leurs exploits que certaines personnes ont fait progresser la sécurité informatique.
Comme dans n'importe quel domaine de recherche il me semble.

Mais voilà les choses sont comme cela, les gens sont ainsi. Dès qu'un filon exploitable apparait, ils foncent dessus pour en profiter au maximum.
Il n'y a qu'à regarder à l'évolution du nombre de virus découvert ces dernières années, et les usages qui en sont fait.

Il y a une nette augmentation, et ce n'est que le début.

Maintenant concernant le problème des failles non découvertes et utilisées, qui sont effectivement dévastatrice.
Moi j'ai envie de dire que les gens qui découvrent ce genre de failles.
Sont soit,
- des chercheurs
- des pirates spécialisés dans l'espionnage

Concernant les pirates il est clair qu'ils ne souhaitent pas voir celle-ci s'ébruitée avant de l'avoir exploitée.

Pour les chercheurs par contre, la divulgation de cette information publiquement ne me semble pas devoir être automatique.
En effet même si cette information peut contribuer à élever le niveau de cette discipline.
il est peu probable que les autres chercheurs en aient besoin avant qu'elle ne soient corrigée.
Par contre, les éditeurs se doivent d'être suffisamment réactif pour éliminer la menace.
Et c'est là que l'argument de la publication, de son instantanéité, de son omni-disponibilité prend tout son poids.

Pour tenter de convaincre une dernière fois ces sociétés de prendre leur responsabilité.

@Lyche, oui, d'ailleurs sur linux ils ont toujours travaillé en ce sens, puisque comprenant la complexité de leur affaire, ils ont tous fais pour imposer l'utilisation d'un utilisateur aux droits restreints dans leur système d'exploitation.
Aidant de facto à garantir un certain niveau de sécurité.

a+
4  0 
_skip
Avatar de _skip
Expert éminent https://www.developpez.com
Le 26/07/2010 à 11:17
On peut dire qu'il existe une faille sans donner les détails, dire que c'est un buffer overflow c'est déjà trop en dire à mon sens. Par ailleurs, dans ce cas que tu cites, les entreprises ne seront pas en mesure de combler la faille, ni d'arrêter le service le temps qu'elle soit corrigé.

Elles devront juste faire face à une recrudescence d'attaques juste parce qu'un irresponsable a donné le tuyau pour se faire mousser.
5  1 
Hellwing
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 27/07/2010 à 10:03
Je préfère ne pas en être sûr tout en prévenant l'éditeur, que de divulguer la faille et être certain que tous les pirates sont au courant avant même que l'éditeur ait pu tenter quoi que ce soit.

[EDIT] Faute de temps
4  0 
Flaburgan
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 22/07/2010 à 16:25
Et sinon, c'est pas exactement comme ça que fonctionne zataz ?
Un p'tit lien pour ceux qui connaissent pas leur procédure : http://www.zataz.com/alerte-virus/19...te--zataz.html

Google n'invente rien, une fois de plus, il se présente en sauveur et essaye d'améliorer son image, mais puisque c'est lui, tout le monde l'écoute...
4  1 
Oussapik
Avatar de Oussapik
Membre actif https://www.developpez.com
Le 22/07/2010 à 16:44
Citation Envoyé par dams78 Voir le message
Je vais peut-être dire une connerie, mais l'avantage du tout public ne serait pas aussi de prévenir "le public"? Parce que ce n'est pas parce qu'une faille n'est pas publié qu'elle n'est pas déjà utilisée... Alors qu'à l'inverse dire "attention il y a une faille avec le service x" permettrait aux utilisateurs de mettre en quarantaine ce service.
Je ne suis pas totalement d'accord. Oui, le public sera au courant. Mais, le problème reste le même concernant les failles qui touchent des utilisateurs lambda, monsieur ou madame toutlemonde.
Si un chercheur trouve une faille, qu'il la publie, alors les personnes averties seront :
  • les connaisseurs en informatique
  • les professionnels (et encore pas tous et de loin)
  • les hackeurs

Du fait, ce principe de divulgation dit "tout rendre public" pose un souci pour les utilisateurs non experts. Ceux-ci seront vulnérables aux hackeurs mais ne sont pas au courant.
Donc oui, il y a des avantages au tout rendre public, mais il y a aussi des inconvénients.

Je trouve que le fait de publier en privé avec une date limite avant publication, c'est une bonne idée, qui n'est pas nouvelle, mais c'est une bonne idée. Par contre, il faudrait plus de précision sur comment déterminer cette durée avant divulgation publique.
3  0 
Lyche
Avatar de Lyche
Expert éminent https://www.developpez.com
Le 23/07/2010 à 18:53
c'est bien ce que je disais, l'open source est LA solution aux maux du monde informatique !
3  0 
_skip
Avatar de _skip
Expert éminent https://www.developpez.com
Le 24/07/2010 à 16:51
Citation Envoyé par Priato Voir le message

Quand une faille est détectée sur un système linux, le lendemain elle est souvent corrigée, ce qui est loin d'être le cas sur un système fermé tel que Windows où il faut attendre que Microsoft veuille bien se bouger. Car Microsoft va d'abord évaluer les contraintes, les avantages à en tirer, les bénéfices à se faire, pour finalement désigner une équipe pour se charger du problème. Il va ensuite décider d'une date de déploiement de mise à jour...etc.
Tu simplifies un peu trop les choses je crois, vu le parc de machines impressionnants sous windows, y compris dans de grandes infrastructures, une mise à jour loupée peut coûter des dizaines où des centaines de milliers d'euros à plein le monde. Il y a sûrement des procédés de validation complexes là derrière.

Pour ce qui est de linux, dis-toi bien que peu d'entreprises sérieuses vont aller chercher sur un svn un correctif 0-day. Quel que soit le système d'exploitation la mise à jour d'une infrastructure qui fonctionne comme telle est toute une procédure.
Il y aurait de toutes façons un temps de battement plus ou moins long entre la découverte de la faille et la sécurisation des machines, donc une faille rendue publique est un danger pour les utilisateurs d'un produit.

Si aucune pression n'est faite sur les entreprises tel que Microsoft, quels sont les intérêts de cette même boite à livrer un correctif? Aucun!
Alors quand quelqu'un diffuse une faille, ça déplait à Microsoft. C'est compréhensible, il va perdre de l'argent et c'est vrai que les pauvres ils n'en ont pas beaucoup... A même temps si ils avaient bien fait leur boulot à la base (ça c'est gratuit je sais )
Non, quand tu divulgues une faille, ce sont les utilisateurs à qui tu causes le plus de problèmes car tu les exposes aux nuisances de tous les h4x0rz w4nn4b33s du net qui ont envie de faire chier le monde.


J'ai du mal à croire que des employés d'une boite soient plus impliqués dans leur projet, qu'un passionné qui travaillera sans relâche même après le boulot (alors qu'il n'est pas payé): C'est mon cas. La "relation entre eux" comme tu le cites est la passion de faire quelque chose de bien ce qui est loin d'être le cas partout dans une entreprise...
Mon point de vue : L' essence d'un travail bien fait c'est la motivation.
Et c'est la qu'on voit que certains points comme la documentation ne passionnent pas grand monde.
Ben moi tu vois, je suis dans une petite entreprise de développement et on travaille pour l'argent, pas pour améliorer le monde. Quand tu comptes là dessus pour bouffer je peux dire que ta motivation compare très largement avec la plupart des hobbyistes qui contribuent 40-50 lignes de code à un projet.


De mon point de vue (encore) : vaut mieux avoir 10000 développeurs motivés et qui apportent leur solutions qu'une grosse boite qui va bien prendre son temps pour sortir un patch et qui sera dirigé/bridé par toute sorte d'entité interne (achats, qualité, ...)

Donc je suis pour mettre une grosse pression à ces énormes boites qui savent prendre les sous, mais feront tout pour pas en dépenser 1/10°, même pour améliorer leur produits...
Ton souci, c'est qu'apparemment tu te rends pas assez compte à quel point c'est délicat de faire des mises à jour sur des systèmes qui sont en fonction. Surtout quand ce sont des trucs qui ont été vendus pour lesquels on a pas trop le droit à l'erreur.

Tu sembles un bon partisan de l'open source, je ne voudrai pas débattre de ça ici mais les éditeurs de logiciels propriétaires ne peuvent pas dire à leur client "si t'es pas content t'as les sources tu te démerdes" et les responsabilités à prendre sont très sérieuses lorsqu'on se risque à des modifications d'urgence.
5  2 
Commenter Signaler un problème