CyberGouvernance : les politiques incitatives à la Divulgation Coordonnée de Vulnérabilités (Guillaume Vassault-Houlière, YesWeHack)
CyberGouvernance : les politiques incitatives à la Divulgation Coordonnée de Vulnérabilités.
Les politiques de divulgation de vulnérabilités
Depuis une dizaine d’années, les organisations tentent de mettre en place des politiques opérationnelles pour éviter les rapports sauvages de failles ou autre « full disclosure » dont les méthodes laissent à désirer en termes d’honnêteté et de responsabilité.
En matière de responsabilité, le concept de « divulgation responsable » a trop souvent été au cœur de discussions sans fin. D’un côté, les vendeurs/éditeurs s’insurgent, car ils considèrent que divulguer une vulnérabilité sans fournir de patchs n’est pas responsable, de l’autre les chercheurs en sécurité rétorquent que c’est le fait de ne pas corriger les vulnérabilités au plus vite qui est irresponsable.
Pendant ce temps précieux où les parties se chamaillent, le système concerné est à la merci de l’adversaire.
Afin de tendre vers plus d’efficacité et sortir de ces débats stériles, de nombreuses organisations ont abandonné le concept de « divulgation responsable » au profit de celui de « Divulgation Coordonnée de Vulnérabilités » (DCV). Cette approche permet de stimuler la coopération entre les différents acteurs de la cybersécurité qui partagent un objectif commun : rendre l’Internet plus sûr.
La DCV est un processus visant à réduire les risques et in fine à atténuer les dommages potentiellement causés par une vulnérabilité touchant un système d’information. Ce processus consiste à collecter des informations auprès des chercheurs en sécurité, à organiser le partage de ces informations entre les acteurs concernés, puis à divulguer l’existence de vulnérabilités (logicielles, voire matérielles) ainsi que leurs mesures d’atténuation aux diverses parties prenantes, y compris le grand public, et notamment quand il s’agit d’open source. La DCV accroît de manière significative les chances de réussite de tout processus de réponse à vulnérabilité. Les contributions consistent souvent en des rapports de vulnérabilité rédigés par des chercheurs.
Les pratiques de divulgation de vulnérabilités ne concernent plus uniquement les applications web. L’Internet des objets et la constellation de systèmes SCADA, d’appareils de santé connectés, de caméras de surveillance, de voitures connectées, etc. sont devenus tellement dépendants des logiciels et de l’Internet qu’ils augmentent le périmètre d’exposition et, de ce fait, seront inéluctablement exposés à de nouvelles attaques. Dans ce contexte, la DCV constitue une alliée majeure pour fédérer le plus grand nombre d’acteurs du cyberespace et stimuler l’échange de savoirs pour mieux assurer, dès la conception d’un produit ou d’une solution, la sécurité et la protection de la vie privée. En incitant à la coopération, la DCV permet aussi de lutter plus efficacement contre le marché noir et la revente de failles « zerodays ».
Les outils des processus de divulgation des données
a) txt : la prometteuse RFC.
Pour faciliter la divulgation d’une ou plusieurs vulnérabilités sur un site web, le chercheur en sécurité EdOverflow, bien inspiré par le rôle du fameux robots.txt, a suggéré depuis août 2017 d’inclure dans chaque site web un fichier security.txt. Ce fichier créé par l’éditeur du site, présente la marche à suivre pour divulguer plus efficacement, et de façon plus sécurisée une vulnérabilité.
b) Le Bug Bounty
Dans le cadre d’un développement agile sur leurs propres produits, de plus en plus de fournisseurs choisissent d’être proactifs en coopérant avec les chercheurs en sécurité informatique :
– soit en misant sur des ressources et expertises internes ;
– soit en contractant directement avec des chercheurs externes ;
– soit en passant par une plateforme permettant de mettre en relation des chercheurs de failles et l’éditeur de la solution. Ce dernier paie les chercheurs au résultat en fonction du nombre et du type de failles découvertes, et peut choisir différentes formules et options pour y remédier telles que le management de programme ou le patch management si ses ressources en interne ne sont pas suffisantes pour apporter les solutions nécessaires.
La première plateforme européenne de Bug Bounty, BountyFactory, créée par YesWeHack, ainsi que sa communauté et son écosystème de services, permettent aux organisations et aux chercheurs en sécurité informatique de mieux coopérer et facilitent grandement la mise en place d’une politique incitative à la Divulgation Coordonnée de Vulnérabilités.
c) La coopération non lucrative avec des CERTs
Quelle démarche adopter si un produit ne propose ni Bug Bounty ni security.txt ? Certains produits (logiciels ou physiques) ne disposent pas de leur propre programme de Bug Bounty. Il est donc plus difficile pour un chercheur en sécurité de faire remonter une vulnérabilité à une société éditrice.
Des plateformes comme Zerodisclo.com permettent de faire remonter les vulnérabilités de façon sécurisée ou anonyme en levant plusieurs obstacles: pas de login nécessaire, anonymisation du rapport via le réseau Tor (.onion), preuve de dépôt du rapport grâce à l’horodatage dans la blockChain et chiffrement automatique du contenu du rapport avec la clef PGP publique du CERT choisi.
En un mot : Coopérons !