Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google veut réinventer les règles de divulgation des failles
Avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs

Le , par Idelways

0PARTAGES

2  0 
Après avoir été impliqué indirectement dans l'affaire Ormandy (et le débat qui déchaine encore les passions sur l'éthique de la divulgation des failles), Google vient de publier à une sorte de guide de bonne conduite destiné à ses chercheurs en sécurité.

Moutain View invite également le reste de la communauté IT à s'y conformer.

Le groupe des chercheurs de Google qui ont publié cet ensemble de recommandations sur le blog de l'entreprise estiment que la « divulgation responsable » semble être la plus saine mais est souvent à l'origine de laxisme de la part de de certains éditeurs.

L'approche inverse, « rendre tout public », serait quant à elle, et malgré son irresponsabilité apparente, la meilleure façon d'améliorer la sécurité puisqu'elle met la pression sur les entreprises dont les produits sont touchés par les failles. Mais elle peut également être dangereuse en donnant des méthodes quasiment clef en main aux pirates.

Google plaide donc pour un juste milieu. Cette nouvelle politique de divulgation des failles a pour but d'inciter les entreprises, qui comptent trop souvent sur la divulgation responsable, à être vertueux par eux-même en corrigeant les vulnérabilités dans des délais raisonnables.

Cette méthode prônée par Google propose de fixer une date limite de divulgation à toute vulnérabilité que les chercheurs rapportent aux éditeurs. La durée avant divulgation doit être proportionnelle à la gravité de la faille. La date limite peut être plus courte s'il existe des preuves que des pirates sont déjà à l'oeuvre.

Tout refus de correction (ou le dépassement de la date limite) entrainerait automatiquement la publication de la vulnérabilité.

Si l'idée est bonne, elle place aussi Google dans la position du Chevalier Blanc de la sécurité informatique. Et elle légitime également les décisions de son ingénieur, Travis Ormandy, en visant, sans le dire ouvertement, Microsoft.

Reste à savoir si le groupe de hackers anonymes qui a décidé de s'attaquer aux produits de Redmond pour venger les « diffamations » et le « mépris » envers les experts en sécurité affiché par Microsoft respecteront, eux aussi, cette charte de bonne conduite.

Source : Blog de Google Online Security

Lire aussi :

Un groupe anonyme veut se venger de Microsoft après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows

Fallait-il publier une preuve de faisabilité sur la faille de Windows XP comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas

Les rubriques (actu, forums, tutos) de Développez :

Securité
Systèmes
Développement Web

Et vous ?

Google vous parait-il être à ce point à la pointe de la sécurité pour pouvoir se positionner en « donneur de leçons » ? Ou s'agit-il au contraire d'une très bonne initiative ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 22/07/2010 à 16:48
Citation Envoyé par dams78 Voir le message
Je vais peut être dire une connerie, mais l'avantage du tout public ne serait pas aussi de prévenir "le public"? Parce que ce n'est pas parce qu'une faille n'est pas publié qu'elle n'est pas déjà utilisée... Alors qu'à l'inverse dire "attention il y a une faille avec le service x" permettrait aux utilisateurs de mettre en quarantaine ce service.

Sinon pour la charte de Google... c'est cool mais ça sent le double tranchant pour eux.
Pas forcément.
1/ car le public qui serait visé par cette annonce, soit s'en contre fou, soit n'en à pas conscience, soit n'à pas d'enjeu majeures.
Les admins ne sont pas toujours, loin de là, les premiers à lire les bulletins de sécurité, ni à appliquer les patchs (pour de bonnes ou mauvaises raisons). Le grand public est ignare sur le sujet. Les geeks, appliquent probablement le patch, mais en même temps tlm se fou de leur Odinateur.

2/ il reste que finalement ceux qui lisent le plus assidument les bulletins de sécurité sont les pirates eux mêmes.
Afin d'être capable d'exploiter le plus efficacement possible une faille nouvellement déclarée.

Hors aujourd'hui selon le type de faille, la rapidité de déploiement d'un virus est potentiellement vertigineuse.
Hors++, il est plus simple d'infecter trois millions de pc en quelques jours, que de patcher ces trois millions de pcs en quelques jours.

De même, on se rappellera qu'il est aujourd'hui plus rapide de produire un vers en utilisant un poc connu, que de patcher un OS avec tous les problèmes de qualimétrie / déploiement qui y sont liées.

Donc d'un point de vu global, c'est donc plus dangereux de publier une vulnérabilité.

Et sinon, c'est pas exactement comme ça que fonctionne zataz ?
Un p'tit lien pour ceux qui connaissent pas leur procédure : http://www.zataz.com/alerte-virus/19...te--zataz.html

Google n'invente rien, une fois de plus, il se présente en sauveur et essaye d'améliorer son image, mais puisque c'est lui, tout le monde l'écoute...
L'essentiel étant que la mesure soit prise et appliquée. C'est pour notre bien, le tien, le mien, celui de ton voisin etc.

a +
8  1 
Avatar de Louis Griffont
Inactif https://www.developpez.com
Le 23/07/2010 à 13:10
Une fois de plus je suis POUR signaler (publiquement) l'existence d'une faille et CONTRE la publication d'un PoC qui est potentiellement plus dangereux que utile.

Kaymak, quand tu dis
@Lyche, oui, d'ailleurs sur linux ils ont toujours travaillé en ce sens, puisque comprenant la complexité de leur affaire, ils ont tous fais pour imposer l'utilisation d'un utilisateur aux droits restreints dans leur système d'exploitation.
Aidant de facto à garantir un certain niveau de sécurité.
C'est vrai uniquement parce que les utilisateurs de Linux sont des informaticiens. Si Linux était utilisé dans le grand public, le problème serait exactement le même que sous Windows, pour la simple raison que le plus gros point d'insécurité en informatique est l'utilisateur.
4  0 
Avatar de Lyche
Expert confirmé https://www.developpez.com
Le 26/07/2010 à 11:17
Et si au lieu de faire des PoC publiques on avait un organisme de gestion des failles qui soit au courrant ainsi que l'entreprise. Avec un système qui permet de mettre la pression aux boites afin qu'elles se bougent les fesses, sans pour autant avoir une répercussion publique trop importante. Cela limite les problèmes d'une divulgation de masse et ça permet d'avoir un suivi "efficace" si tanté que l'on puisse réellement d'efficacité.
4  0 
Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 22/07/2010 à 22:24
Hello,

C'est vrai que je suis un peu tranchant dans mon discours.

La publication des failles fait partie du processus d'élévation du niveau de sécurité.
C'est en partageant l'explication de leurs exploits que certaines personnes ont fait progresser la sécurité informatique.
Comme dans n'importe quel domaine de recherche il me semble.

Mais voilà les choses sont comme cela, les gens sont ainsi. Dès qu'un filon exploitable apparait, ils foncent dessus pour en profiter au maximum.
Il n'y a qu'à regarder à l'évolution du nombre de virus découvert ces dernières années, et les usages qui en sont fait.

Il y a une nette augmentation, et ce n'est que le début.

Maintenant concernant le problème des failles non découvertes et utilisées, qui sont effectivement dévastatrice.
Moi j'ai envie de dire que les gens qui découvrent ce genre de failles.
Sont soit,
- des chercheurs
- des pirates spécialisés dans l'espionnage

Concernant les pirates il est clair qu'ils ne souhaitent pas voir celle-ci s'ébruitée avant de l'avoir exploitée.

Pour les chercheurs par contre, la divulgation de cette information publiquement ne me semble pas devoir être automatique.
En effet même si cette information peut contribuer à élever le niveau de cette discipline.
il est peu probable que les autres chercheurs en aient besoin avant qu'elle ne soient corrigée.
Par contre, les éditeurs se doivent d'être suffisamment réactif pour éliminer la menace.
Et c'est là que l'argument de la publication, de son instantanéité, de son omni-disponibilité prend tout son poids.

Pour tenter de convaincre une dernière fois ces sociétés de prendre leur responsabilité.

@Lyche, oui, d'ailleurs sur linux ils ont toujours travaillé en ce sens, puisque comprenant la complexité de leur affaire, ils ont tous fais pour imposer l'utilisation d'un utilisateur aux droits restreints dans leur système d'exploitation.
Aidant de facto à garantir un certain niveau de sécurité.

a+
3  0 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 26/07/2010 à 11:17
On peut dire qu'il existe une faille sans donner les détails, dire que c'est un buffer overflow c'est déjà trop en dire à mon sens. Par ailleurs, dans ce cas que tu cites, les entreprises ne seront pas en mesure de combler la faille, ni d'arrêter le service le temps qu'elle soit corrigé.

Elles devront juste faire face à une recrudescence d'attaques juste parce qu'un irresponsable a donné le tuyau pour se faire mousser.
4  1 
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 27/07/2010 à 10:03
Je préfère ne pas en être sûr tout en prévenant l'éditeur, que de divulguer la faille et être certain que tous les pirates sont au courant avant même que l'éditeur ait pu tenter quoi que ce soit.

[EDIT] Faute de temps
3  0 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 22/07/2010 à 16:25
Et sinon, c'est pas exactement comme ça que fonctionne zataz ?
Un p'tit lien pour ceux qui connaissent pas leur procédure : http://www.zataz.com/alerte-virus/19...te--zataz.html

Google n'invente rien, une fois de plus, il se présente en sauveur et essaye d'améliorer son image, mais puisque c'est lui, tout le monde l'écoute...
3  1 
Avatar de Oussapik
Membre actif https://www.developpez.com
Le 22/07/2010 à 16:44
Citation Envoyé par dams78 Voir le message
Je vais peut-être dire une connerie, mais l'avantage du tout public ne serait pas aussi de prévenir "le public"? Parce que ce n'est pas parce qu'une faille n'est pas publié qu'elle n'est pas déjà utilisée... Alors qu'à l'inverse dire "attention il y a une faille avec le service x" permettrait aux utilisateurs de mettre en quarantaine ce service.
Je ne suis pas totalement d'accord. Oui, le public sera au courant. Mais, le problème reste le même concernant les failles qui touchent des utilisateurs lambda, monsieur ou madame toutlemonde.
Si un chercheur trouve une faille, qu'il la publie, alors les personnes averties seront :
  • les connaisseurs en informatique
  • les professionnels (et encore pas tous et de loin)
  • les hackeurs

Du fait, ce principe de divulgation dit "tout rendre public" pose un souci pour les utilisateurs non experts. Ceux-ci seront vulnérables aux hackeurs mais ne sont pas au courant.
Donc oui, il y a des avantages au tout rendre public, mais il y a aussi des inconvénients.

Je trouve que le fait de publier en privé avec une date limite avant publication, c'est une bonne idée, qui n'est pas nouvelle, mais c'est une bonne idée. Par contre, il faudrait plus de précision sur comment déterminer cette durée avant divulgation publique.
2  0 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 23/07/2010 à 16:01
Citation Envoyé par Lyche Voir le message
Tu te trompes biensur, l'Open Source est LA solution aux problèmes du monde ! je pensais qu'avec le temps tu aurais compris ça !! Tous les développeurs travaillent de la même façon, commentent leur code de façon parfaite et, biensur, ont la même logique de conception d'une application. Donc forcément, vue que tout le monde travail pareil, tout est plus facile pour comprendre !
Ca dépend, l'open source des fois ça fonctionne super, et des fois ça ressemble à une excuse pour faire digérer des trucs pas finis et mal documentés.

Pour ce qui est de la news, franchement c'est quoi ce boulot de faire chanter un éditeur? MS, comme tous les gros éditeurs, a quand même certaines contraintes et un parc installé existant qui font qu'une mise à jour n'est certainement pas un petit truc anodin mais tout un processus.
Je vois pas au nom de quoi des guignols se permettraient de décider que ça doit impérativement être fait sous un délai de X en menaçant de mettre en danger les utilisateurs du produit concerné. Je vois pas comment on peut soutenir cet espèce de chantage à la gomme qui est nuisible aussi bien à un éditeur qu'à ses clients.
4  2 
Avatar de Lyche
Expert confirmé https://www.developpez.com
Le 23/07/2010 à 18:53
c'est bien ce que je disais, l'open source est LA solution aux maux du monde informatique !
2  0