GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

Pour ou contre la publication des failles avant la sortie d'un correctif ?
Un ingénieur de Google divulgue les détails sur un Zero-day dans Windows

Le , par Cedric Chevalier, Expert éminent sénior
Tarvis Ormandy est un ingénieur talentueux travaillant pour le compte de Google. C'est aussi un expert en sécurité dont les travaux avaient conduit à la découverte d'une vulnérabilité vieille d'au moins 17 ans affectant tous les noyaux 32 bits de Windows. Ladite vulnérabilité conférait aux hackers des niveaux de privilèges élevés une fois exploitée.

Décidément notre ingénieur à une attention toute particulière pour la plateforme Microsoft. Récemment encore, le même homme a rendu publique une autre vulnérabilité critique affectant le noyau pour les systèmes Windows 7 et 8.

La firme de recherche en sécurité Secunia a d'ailleurs confirmé les résultats de l'expert. Pour la firme, la vulnérabilité est présente sur les systèmes Windows 7 à jour, ainsi que sur Windows 8. D'après elle, la vulnérabilité peut être exploitée pour effectuer des attaques DoS, ou encore accroître le niveau de privilège d'un hacker.

Comme par le passé, Ormandy a une choisie de publie un code pour exploiter cette nouvelle vulnérabilité (code déjà disponible pour Metasploit). Pourtant, la découverte des failles par des experts en sécurité est souvent maintenue secret jusqu’à correction de celles-ci.

Son attitude de rendre publique une vulnérabilité ainsi que le code associé pour l'exploiter sans au préalable informé l'entreprise concernée par un canal privé, afin de lui donner le temps nécessaire pour préparer un patch a été vertement critiquée par Microsoft et d'autres experts en sécurité indépendants.

Ormandy justifie ce geste par le fait qu’il serait assez difficile de collaborer avec Microsoft sur la sécurité de ses solutions.

Un avis que ne partage pas Graham Cluley, expert en sécurité chez Sophos, qui a déclaré TheVerge que « l'équipe de sécurité de Microsoft fait un excellent travail » et recommande aux les chercheurs en sécurité de « travailler étroitement avec Microsoft afin de corriger les problèmes de manière responsable, plutôt que de prendre le risque de favoriser les pirates ».

Source: Secunia, Blog Ormandy, seclists

Et vous ?

Etes-vous pour la divulgation publique des failles avec PoC avant que l'éditeur de la solution ne soit informé ?

Sachant que Google et Microsoft sont deux firmes concurrentes, comment pourrait-on qualifier l'attitude d'Ormandy ? normale ou préméditée ?

Pour vous, doit-on normaliser le processus conduisant à la publication d'un patch de sécurité afin que de telles situations ne se reproduisent à l'avenir ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert confirmé http://www.developpez.com
le 24/05/2013 à 13:39
Pour le coup je suis assez du côté de M$...
Cet ingénieur a de nombreuses fois qualifié le code de windows comme étant une immondice que ses yeux ne pouvaient regarder et qu'il ne pourrait donc travailler de concert avec les incompétents qui s'en occupent.

Bref c'est pas tellement une news que de lire ça.
Avatar de VivienD VivienD - Membre confirmé http://www.developpez.com
le 24/05/2013 à 21:12
Selon moi, la bienséance voudrait que celui qui découvre une faille d'une solution informe directement l'éditeur de cette dernière et se garde de publier tout algorithme ou programme visant à exploiter la dite vulnérabilité. L'utilisateur n'a pas à subir la moindre conséquence négative de la fierté mal placée de l'éditeur ou de l'auteur de cette découverte.
Alors, comment qualifier l'attitude d'Ormandy? Irrespectueuse de l'utilisateur, voire criminelle, si tant est que cette publication fût préméditée. En revanche, s'il est vrai qu'il est difficile de travailler avec Redmond sur la sécurité de ses solutions «malgré» les dénégations de cette firme, alors il s'avère que Microsoft donne dans la puérilité, on ne peut plus irresponsable.

Sur ce, adishatz.
Avatar de LSMetag LSMetag - Membre expert http://www.developpez.com
le 25/05/2013 à 10:59
D'un autre côté, ça donne une bonne raison à Microsoft de se bouger les fesses pour faire rapidement un correctif ^^'
Avatar de Bestel74 Bestel74 - Membre confirmé http://www.developpez.com
le 25/05/2013 à 14:21
Vu ce qu'il publie sur son blog, ça peut se comprendre non ?

If you solve the mystery and determine this is a security issue, send me an email and I'll update this post. If you confirm it is exploitable, feel free to send your work to Microsoft if you feel so compelled, if this is your first time researching a potential vulnerability it might be an interesting experience.

Note that Microsoft treat vulnerability researchers with great hostility, and are often very difficult to work with. I would advise only speaking to them under a pseudonym, using tor and anonymous email to protect yourself.

Je serais lui je travaillerai à la recherche de faille sous Linux
Avatar de cbleas cbleas - Membre éprouvé http://www.developpez.com
le 26/05/2013 à 8:58
Cet ingénieur a de nombreuses fois qualifié le code de windows comme étant une immondice que ses yeux ne pouvaient regarder et qu'il ne pourrait donc travailler de concert avec les incompétents qui s'en occupent.

Quant on voit le nombre de Malware qui fleurissent sur android je pense que son patron (Google) devrait l'utiliser à sécuriser ses propres produits.
Maintenant Que ce passerait il si les concurrents de Google commençaient à mettre un peu de leurs ressources a chercher les failles d'Android et à les publier.
A non pas besoin ce doit etre le code d'Android qui lui doit etre parfait et si bien écrit Qu'il est si facile a produire des malwares.
Maintenant tout code aura toujours des Bugs, des failles alors les publier avant correctif n'aura qu'un impact et se sera l'utilisateur final qui sera impacté.
Pour créer des programmes je sais qu'il est difficile de juger de la qualité d'un code à partir du moment ou il fait ce que l'on demande.
Mais je ne comprend pas pourquoi quelqu'un qui trouve que du coté de Microsoft il n'y a que des incompétents et des programmes immondes passe sont temps libre à le décortiquer est t il un peu Maso
Avatar de abriotde abriotde - Membre confirmé http://www.developpez.com
le 26/05/2013 à 13:03
Je pense que cela fait partie d'un devoir éthique d'informer la société éditrice du logiciel (Microsoft en l’occurrence ici) en premier. Cependant il est vrai que certaines société ensuite mettent peu d'entrain a corrigé les problème. Il est alors tout aussi éthique de révéler la faille a tous afin d’obliger sa correction. La question est combien de temps doit on attendre? Une semaine, un mois?

Ici on est dans une affaire qui s'est envenimé car il y a beaucoup d'enjeux et que Microsoft avait un comportement inacceptable qui a poussé les experts a publié les failles... Microsoft a peut-être corrigé le tir les inimitiés restent.

Androïd n'est pas truffé de faille... Le problème c'est que les applications ont le droit d'avoir accès a tout si l'utilisateur accepte (Mais a moins de choses que sur un PC). A la différence des PC les smartphones ne sont pas muni d'anti-virus efficace car entre autre la puissance manque.
Avatar de tp1024 tp1024 - Membre régulier http://www.developpez.com
le 26/05/2013 à 16:37
Dans le monde des hackers, les informations circulent très bien et très vite.
Ça n'a pas du changer.
Que celui qui découvre la faille la rende publique ou non, ça ne changera pas grand chose à l'exploitation que les hackers font de la faille.

Mais la publication de la faille permet aux autres acteurs utilisant le même logiciel de faire attention et éventuellement se protéger.

Quelque part, publier la faille la rend moins nocive.

edit:
Bien sur, il faut en premier avertir la société éditrice du logiciel.

edit 2:
Je pense qu'il est dommage de cibler uniquement M$. Dernièrement Oracle s'est fait remarqué avec Java. Android n'est pas exempt de reproche, etc...

C'est l'informatique qui s'est emballé dans une frénésie de nouveautés et semble moins accorder d'importance à la sécurité.
Est ce que les sociétés ne se reposent pas trop sur les antivirus/firewall et les sociétés éditrice de logiciels de sécurité, plutôt que d'investir pendant la phase de développement sur un code plus fiable?
Avatar de transgohan transgohan - Expert confirmé http://www.developpez.com
le 27/05/2013 à 9:51
Citation Envoyé par cbleas  Voir le message
Quant on voit le nombre de Malware qui fleurissent sur android je pense que son patron (Google) devrait l'utiliser à sécuriser ses propres produits.
Maintenant Que ce passerait il si les concurrents de Google commençaient à mettre un peu de leurs ressources a chercher les failles d'Android et à les publier.
A non pas besoin ce doit etre le code d'Android qui lui doit etre parfait et si bien écrit Qu'il est si facile a produire des malwares.
Maintenant tout code aura toujours des Bugs, des failles alors les publier avant correctif n'aura qu'un impact et se sera l'utilisateur final qui sera impacté.
Pour créer des programmes je sais qu'il est difficile de juger de la qualité d'un code à partir du moment ou il fait ce que l'on demande.
Mais je ne comprend pas pourquoi quelqu'un qui trouve que du coté de Microsoft il n'y a que des incompétents et des programmes immondes passe sont temps libre à le décortiquer est t il un peu Maso

Mon message a semble-t-il été mal interprété...
Il est à lire dans le sens où cet ingénieur google ne peut regarder en face M$ et ses applications sans vomir... Donc il est normal de constater qu'il ne veut pas travailler de concert avec leur équipe pour la résolution des failles.
Je ne suis pas là pour juger de la qualité des logiciels M$, j'en utilise tous les jours sans avoir le moindre souci.
Avatar de MRick MRick - Membre du Club http://www.developpez.com
le 27/05/2013 à 13:22
Un chercheur en sécurité devrait toujours contacter en premier l'éditeur du logiciel dans lequel il a trouvé une faille.

Après, certains éditeurs ne jouent pas le jeu, et font volontairement trainer les choses quand il s'agit de corriger des vulnérabilités.
C'est notamment le cas d'Oracle qui essuie de nombreux déboires avec Java, et qui a été aussi remarqué lors de la correction d'une faille dans MySQL qui a trainé très longtemps, alors que la même faille dans MariaDB (un fork de MySQL) était corrigée depuis longtemps.

Au bout d'un moment, quand l'éditeur a été prévenu mais qu'il refuse toujours d'allouer des moyens pour corriger la faille, il est normal aussi que la faille soit divulguée, pour mettre la pression sur l'éditeur.

Concernant Microsoft, en dehors de Travis Ormandy et quelques autres chercheurs de chez Google, plusieurs chercheurs en sécurité donnent des échos plutôt positifs, même si le temps de développement et de test des correctifs est encore relativement long (2 à 6 mois en général). L'impression que j'ai en lisant plusieurs sources différentes, c'est que Microsoft prend réellement et rapidement en compte les problèmes de sécurité qu'on leur signale, mais qu'ils ont derrière des processus un peu lourd qui font que les correctifs tardent un peu.

Mais d'autres éditeurs sont régulièrement dénoncés pour un total immobilisme, préférant allouer des ressources au développement d'une nouvelle version plutôt qu'à la correction d'une version en cours de support.

Enfin concernant Google, il faut reconnaitre qu'ils sont très rapides pour corriger les problèmes, ça s'est vu notamment depuis le concours "Pwn2own 2013", tous les éditeurs ont vu leur produits troués par les chercheurs en sécurité. Le produit le plus rapidement corrigé a été Chrome, et puis Internet Explorer a été corrigé le 14 Mai dernier. Mais certains de ces produits dont les failles ont été démontrés il y a près de 3 mois maintenant, ne sont toujours pas corrigés (C'est le cas de Oracle-Java il me semble).

Je pense donc qu'il y a une dose de mauvaise foi de la part de Travis Ormandy et/ou Google.

Enfin pour ceux dénoncent les malwares sous Android, le sujet m'intéresse, j'aimerais savoir si il y a réellement des vulnérabilités exploitées par des malware sous Android. Quelques exemples seraient les bienvenus.

Pour l'instant, dans 99,9% des cas que j'ai étudié il n'y a pas de faille de sécurité utilisée par les malware Android. Ce sont les utilisateurs eux même qui installent volontairement des applications, et acceptent (sans les lire) les conditions d'accès à leur terminal. Ça peut arriver avec Google Play, mais le risque est décuplé quand on va chercher une application dans un store alternatif. Quand a télécharger sur un site russe la version gratuite d'une application qui est payante dans Google Play, c'est vraiment de la bêtise (il n'y a pas d'autre mot), et les utilisateurs qui font ça méritent bien ce qui leur arrive.

Le 0,1% des cas, c'est quand on télécharge une application sur Google Play, qu'on vérifie ce à quoi elle demande d'accéder, qu'il n'y a rien de louche. Et puis un peu plus tard on reçoit une mise à jour de l'application qui accède à des choses qu'elle ne devrait pas. Et dans certains cas l'utilisateur ne pouvait pas voir la liste des ressource accédées.
Avatar de la.lune la.lune - Membre chevronné http://www.developpez.com
le 27/05/2013 à 15:15
Quand il y a des failles dans des systèmes utilisés par le grand public, il faut informer les gens et donner la solution pour se protéger contre les dégâts que ces failles peuvent causer. C'est ce qui se passe quand il y a une faille sur java, Adobe reader/flash ...
Et personne n'a jamais dit que cela devrait passer confidentiellement entre celui qui a découvert la faille et l’entreprise concerné. On publie par ce que ce sont les utilisateurs qui sont exposés au danger.

Car le moment qu'un chercheur découvre une faille qui nous dit qu'il n y a pas déjà des pirates qui l'exploitent?

Mais seulement la question ici c'est quand il y avait une faille sur le plugin de java on nous disait de désactiver le plugin et d'autres plus stricte nous demande de le désinstaller carrément de l'ordinateur, et maintenant avec cette faille sous Windows que faire en tant qu'utilisateur qui craint d'être victime
Offres d'emploi IT
Technical leader / moe perle (H/F)
Société Générale - Ile de France - Val de Marne
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Architecte de données (H/F)
Société Générale - Ile de France - Ile de France

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil