Le département du commerce des Etats-Unis envisage d’instaurer des règles dans le marché des failles logicielles. Ces règles, déjà écrites et soumises aux commentaires du public pendant 60 jours, ont été annoncées la semaine dernière et visent à limiter l’aide de l’industrie nationale US de sécurité aux nations rivales.L’Oncle Sam prévoit d’introduire de nouveaux contrôles autour de la vente de failles de sécurité en dehors du pays, à l’exception des autres nations membres des Five Eyes, à savoir le Canada, le Royaume-Uni, la Nouvelle Zélande et l’Australie.
Les nouvelles règles prévoient en effet de soumettre la vente et le support de failles de sécurité à une licence. Autrement dit, les entreprises et les chercheurs en sécurité aux Etats-Unis ne pourront pas vendre les failles qu’ils ont découvertes aux éditeurs de logiciels à l’étranger, ni à aucun autre service gouvernemental étranger en dehors des partenaires de la NSA, à moins d’avoir un permis spécial. Ils ne pourront pas non plus apporter de support pour corriger ces défauts de sécurité sans détenir de licence.
La réglementation porte sur les failles zero-day, ou défauts de sécurité qui ne seraient pas encore divulgués, ni connus par le fournisseur du logiciel. Elle serait par ailleurs le résultat d’un accord datant de 2013 qui stipule que certains logiciels devraient être soumis à des contrôles au même titre que les composants d'armes nucléaires et chimiques. Le département du Commerce US considère en effet les failles logicielles inconnues comme des armes potentielles, qui pourraient être exploitées par des régimes répressifs pour la surveillance. Il note donc la nécessité de protéger les droits humains dans le commerce de failles de logiciels.
Dans le milieu des chercheurs et entreprises de sécurité, cette mesure ne semble pas être la bienvenue. Pour certains chercheurs, cette réglementation ne pourra qu’entraver la collaboration transfrontalière et la vente de produits de défense.
«Je me souviens avoir pensé que donner des licences aux vendeurs de zero-day est une bonne idée à un degré. Vous empêchez quelqu'un aux États-Unis de vendre à l'Iran », a dit Adriel Desautels, directeur général de la société Netragard Inc. « Une certaine forme de licence ou de réglementation est utile. Mais la forme de réglementation proposée est potentiellement très dommageable pour l'industrie de la sécurité dans son ensemble ... C'est complètement stupide », a-t-il ajouté.
Si les grandes entreprises de sécurité ne devraient pas avoir de mal à embaucher des avocats pour obtenir une licence d’exportation des failles logicielles à l’étranger, Reuters rapporte que pour les petites entreprises et les chercheurs indépendants, cette réglementation sera beaucoup plus susceptible de les faire renoncer à la vente à travers les frontières, laissant ces marchés à des criminels.
« Cela pourrait avoir des impacts majeurs sur la façon dont nous faisons la recherche de la vulnérabilité et protégeons nos systèmes », a déclaré l'expert Rand Corp Lillian Ablon, qui a étudié les marchés zero-day. « Si nous limitons la capacité des chapeaux blancs de trouver les vulnérabilités, cela ne fait que faciliter les choses pour les méchants », a-t-il averti.
Il faut toutefois préciser que les logiciels open-source et ceux qui sont développés dans le cadre de la recherche scientifique ne sont pas soumis à la réglementation.
Source : Reuters
Et vous ?
Que pensez-vous de soumettre la vente de failles zero-day à une licence ? Quelles seraient les implications dans le monde de la sécurité ? 
Envoyé par Mrsky
