Les Etats-Unis veulent réglementer le commerce de failles logicielles
Pour empêcher la vente de défauts zero-day à l'étranger
Le 2015-05-25 06:59:14, par Michael Guilloux, Chroniqueur Actualités
Le département du commerce des Etats-Unis envisage d’instaurer des règles dans le marché des failles logicielles. Ces règles, déjà écrites et soumises aux commentaires du public pendant 60 jours, ont été annoncées la semaine dernière et visent à limiter l’aide de l’industrie nationale US de sécurité aux nations rivales.
L’Oncle Sam prévoit d’introduire de nouveaux contrôles autour de la vente de failles de sécurité en dehors du pays, à l’exception des autres nations membres des Five Eyes, à savoir le Canada, le Royaume-Uni, la Nouvelle Zélande et l’Australie.
Les nouvelles règles prévoient en effet de soumettre la vente et le support de failles de sécurité à une licence. Autrement dit, les entreprises et les chercheurs en sécurité aux Etats-Unis ne pourront pas vendre les failles qu’ils ont découvertes aux éditeurs de logiciels à l’étranger, ni à aucun autre service gouvernemental étranger en dehors des partenaires de la NSA, à moins d’avoir un permis spécial. Ils ne pourront pas non plus apporter de support pour corriger ces défauts de sécurité sans détenir de licence.
La réglementation porte sur les failles zero-day, ou défauts de sécurité qui ne seraient pas encore divulgués, ni connus par le fournisseur du logiciel. Elle serait par ailleurs le résultat d’un accord datant de 2013 qui stipule que certains logiciels devraient être soumis à des contrôles au même titre que les composants d'armes nucléaires et chimiques. Le département du Commerce US considère en effet les failles logicielles inconnues comme des armes potentielles, qui pourraient être exploitées par des régimes répressifs pour la surveillance. Il note donc la nécessité de protéger les droits humains dans le commerce de failles de logiciels.
Dans le milieu des chercheurs et entreprises de sécurité, cette mesure ne semble pas être la bienvenue. Pour certains chercheurs, cette réglementation ne pourra qu’entraver la collaboration transfrontalière et la vente de produits de défense.
«Je me souviens avoir pensé que donner des licences aux vendeurs de zero-day est une bonne idée à un degré. Vous empêchez quelqu'un aux États-Unis de vendre à l'Iran », a dit Adriel Desautels, directeur général de la société Netragard Inc. « Une certaine forme de licence ou de réglementation est utile. Mais la forme de réglementation proposée est potentiellement très dommageable pour l'industrie de la sécurité dans son ensemble ... C'est complètement stupide », a-t-il ajouté.
Si les grandes entreprises de sécurité ne devraient pas avoir de mal à embaucher des avocats pour obtenir une licence d’exportation des failles logicielles à l’étranger, Reuters rapporte que pour les petites entreprises et les chercheurs indépendants, cette réglementation sera beaucoup plus susceptible de les faire renoncer à la vente à travers les frontières, laissant ces marchés à des criminels.
« Cela pourrait avoir des impacts majeurs sur la façon dont nous faisons la recherche de la vulnérabilité et protégeons nos systèmes », a déclaré l'expert Rand Corp Lillian Ablon, qui a étudié les marchés zero-day. « Si nous limitons la capacité des chapeaux blancs de trouver les vulnérabilités, cela ne fait que faciliter les choses pour les méchants », a-t-il averti.
Il faut toutefois préciser que les logiciels open-source et ceux qui sont développés dans le cadre de la recherche scientifique ne sont pas soumis à la réglementation.
Source : Reuters
Et vous ?
L’Oncle Sam prévoit d’introduire de nouveaux contrôles autour de la vente de failles de sécurité en dehors du pays, à l’exception des autres nations membres des Five Eyes, à savoir le Canada, le Royaume-Uni, la Nouvelle Zélande et l’Australie.
Les nouvelles règles prévoient en effet de soumettre la vente et le support de failles de sécurité à une licence. Autrement dit, les entreprises et les chercheurs en sécurité aux Etats-Unis ne pourront pas vendre les failles qu’ils ont découvertes aux éditeurs de logiciels à l’étranger, ni à aucun autre service gouvernemental étranger en dehors des partenaires de la NSA, à moins d’avoir un permis spécial. Ils ne pourront pas non plus apporter de support pour corriger ces défauts de sécurité sans détenir de licence.
La réglementation porte sur les failles zero-day, ou défauts de sécurité qui ne seraient pas encore divulgués, ni connus par le fournisseur du logiciel. Elle serait par ailleurs le résultat d’un accord datant de 2013 qui stipule que certains logiciels devraient être soumis à des contrôles au même titre que les composants d'armes nucléaires et chimiques. Le département du Commerce US considère en effet les failles logicielles inconnues comme des armes potentielles, qui pourraient être exploitées par des régimes répressifs pour la surveillance. Il note donc la nécessité de protéger les droits humains dans le commerce de failles de logiciels.
Dans le milieu des chercheurs et entreprises de sécurité, cette mesure ne semble pas être la bienvenue. Pour certains chercheurs, cette réglementation ne pourra qu’entraver la collaboration transfrontalière et la vente de produits de défense.
«Je me souviens avoir pensé que donner des licences aux vendeurs de zero-day est une bonne idée à un degré. Vous empêchez quelqu'un aux États-Unis de vendre à l'Iran », a dit Adriel Desautels, directeur général de la société Netragard Inc. « Une certaine forme de licence ou de réglementation est utile. Mais la forme de réglementation proposée est potentiellement très dommageable pour l'industrie de la sécurité dans son ensemble ... C'est complètement stupide », a-t-il ajouté.
Si les grandes entreprises de sécurité ne devraient pas avoir de mal à embaucher des avocats pour obtenir une licence d’exportation des failles logicielles à l’étranger, Reuters rapporte que pour les petites entreprises et les chercheurs indépendants, cette réglementation sera beaucoup plus susceptible de les faire renoncer à la vente à travers les frontières, laissant ces marchés à des criminels.
« Cela pourrait avoir des impacts majeurs sur la façon dont nous faisons la recherche de la vulnérabilité et protégeons nos systèmes », a déclaré l'expert Rand Corp Lillian Ablon, qui a étudié les marchés zero-day. « Si nous limitons la capacité des chapeaux blancs de trouver les vulnérabilités, cela ne fait que faciliter les choses pour les méchants », a-t-il averti.
Il faut toutefois préciser que les logiciels open-source et ceux qui sont développés dans le cadre de la recherche scientifique ne sont pas soumis à la réglementation.
Source : Reuters
Et vous ?
-
ZirakInactifEn gros la NSA dit :
"Vous nous vendez les failles à nous, ou à d'autres avec licence (licence fournie une fois qu'on aura étudié la faille pour être sûr que cela en est bien une nouvelle, histoire qu'on sache s'en prémunir nous, tout en laissant les autres en position critique en attendant)"
Et bizarrement les seuls autres pays à qui ils peuvent vendre sans licence, c'est leurs copains télétubbies de leur groupe d'espionnage...
D'ailleurs le summum du foutage de gueule est dans cette phrase :Après tout le bazar sur l'espionnage de masse, ils sont beaux les droits humains...Il note donc la nécessité de protéger les droits humains dans le commerce de failles de logicielsle 25/05/2015 à 9:48 -
SuryavarmanMembre actifNSA:"vous souhaitez vendre cette faille à cette entreprise Européenne?"
Mr X: "oui"
NSA:"Très bien monsieur, faites nous voir cette faille.... Ok vous aurez le feux vert dans deux ans...le temps que l'on exploite."
Et dans un an en France Herr Valls choisira que seul l'entreprise Dupont qui paie les bijoux a madame aura le droit de vendre des failles et de les chercher.
Entre temps c++ pour les nuls sera black liste car sera considéré comme un manuel pour les islamiste... Dommage que c++ pour les nuls ne paie pas lui aussi les bijoux à madame.le 25/05/2015 à 9:39 -
fenkysMembre éprouvéUne licence sur les bugs, même Microsoft n'y avait pas pensé (ou osé). Ils doivent le regretter aujourd'hui.
Pas si conne que ça la loi. Elle revient à empêcher les éditeurs d'antivirus et de malware de prendre connaissance de ces failles.
La bonne réponse serait que les sociétés étrangères ne vendent plus les failles zero days qu'ils découvrent aux entreprises états-uniennes. Mais comme il est question de fric, je n'y crois plus.le 26/05/2015 à 8:55 -
Des criminels? Ou simplement les mêmes personnes qui demain seront considérées comme telles alors qu'elle feront exactement la même chose qu'aujourd'hui?
Qui pour lancer le site www.laloilaplusconne.com ?le 25/05/2015 à 10:17 -
pierre-yMembre chevronnéC'est pas comme interdire l'après vente d'une certaine façon?le 25/05/2015 à 7:48
-
DelionerasMembre régulierJe crois qu'on peut résumer l'article à cette section, simplement.
Les nouvelles règles prévoient en effet de soumettre la vente et le support de failles de sécurité à une licence. Autrement dit, les entreprises et les chercheurs en sécurité aux Etats-Unis ne pourront pas vendre les failles qu’ils ont découvertes aux éditeurs de logiciels à l’étranger, ni à aucun autre service gouvernemental étranger en dehors des partenaires de la NSA, à moins d’avoir un permis spécial.
Un peu désespéré quand même de la part des world's tops.le 25/05/2015 à 9:18 -
earhaterMembre éprouvéje suis carrément partantQui pour lancer le site www.laloilaplusconne.com ?le 25/05/2015 à 13:30
-
Algo D.DNMembre éprouvéBraves clients, après avoir acheté nos bouzins verrouillés tout plein de trous vous allez vous arracher nos rustines.Le département du commerce des Etats-Unis envisage d’instaurer des règles dans le marché des failles logicielles. Ces règles visent à limiter l’aide de l’industrie nationale US de sécurité aux nations rivales.Après réflexion cette phrase me fait doucement ricaner, une sorte d’aveu dans l’art et la manière de s’enfoncer toujours plus... Mais bon, en même temps s’est pas comme s’ils pouvaient se permettre un affront.Il faut toutefois préciser que les logiciels open-source et ceux qui sont développés dans le cadre de la recherche scientifique ne sont pas soumis à la réglementation.le 25/05/2015 à 16:46
-
AiekickMembre extrêmement actifvendre une License d'exploitation d'un bug... Alors la je dis BRAVO ! Sont fort ces ricains quand même.
je suis totalement fan..
qui dit mieux ?le 26/05/2015 à 16:54 -
goomazioMembre chevronnéCa interdirait la divulgation de failles publiquement, c'est ça ?
Finit aussi les "hackers éthiques" ?!? Comme ce monsieur Helkowski qui avait déjà reçu la visite du FBI.
Et Google devra changer sa politique qui, je cite, "consiste à révéler au grand public les failles de sécurité 90 jours après leur découverte."
http://www.tomsguide.fr/actualite/go...8-1,46038.htmlle 27/05/2015 à 19:11