Est-il prudent de divulguer des vulnérabilités 0 day ?
Depuis l’histoire de Log4Shell, cette faille de sécurité qui est branle la sécurité d’internet de manière fondamentale, l’on se pose une question très pertinente qui longtemps n’a pas été répondue quand bien même que cela a germé dans la tête de plusieurs spécialistes.
Il s’agit de savoir s’il est raisonnable de divulguer une généralité de type 0 day ?
Cet article va aussi vous intéresser : Vulnérabilités et menaces informatiques : principaux secteurs à risque
Récemment, un professionnel de la cybersécurité de chez Helpnet Security, Alex Haynes, s’est penché sur la question.
Le contexte se plante depuis le mois de décembre lorsque la faille de sécurité nommée Log4Shell à été dévoilé publiquement. C’est une vulnérabilité présente dans un logiciel open source Log4j, utilisé par énormément d’entreprises et d’éditeurs de solutions informatiques. Si la vulnérabilité a été d’abord découverte par un chercheur en sécurité informatique d’Ali-Baba Cloud et un correctif de sécurité déployé depuis lors, il existe aujourd’hui sur le net plusieurs concepts permettant d’exploiter cette faille. Cela a été lancé notamment depuis quand chercheur a jugé qu’il fallait publier cette faille de sécurité au travers de son compte Twitter, et cela avant même que le patch de sécurité n’a été mis à disposition de l’ensemble des utilisateurs. Ce qui a créé une crise sans précédent et une inquiétude qui continue de persister, car nous ne pouvons pas de manière pratique et certainement évaluer l’étendue du risque qui impose à cette vulnérabilité aujourd’hui.
Il faut les signifier, la divulgation des exploits Zero Day fait débat depuis très longtemps. Surtout depuis 2016 lors de la divulgation d’une faille de sécurité 0 day qui étaient présente dans des outils fournis par Microsoft, seulement quelques jours après avoir prévenu le géant américain de la vulnérabilité. À cette époque, Microsoft n’avait pas eu le temps de fournir un correctif de sécurité avant la divulgation de Google. L’argument avancé par la société de Mountain View était que c’était une faille de sécurité qui était déjà exploitée, situation qui a des plus fortement à Microsoft.
Pourtant, la divulgation de faille de sécurité peut profiter à la cybermalveillance. Et cela a été démontré par une étude publiée par Kenna Security. Selon cette étude, le fait de publier une faille de sécurité avant la disponibilité du correctif permettrait aux pirates informatiques d’avoir une avance de 98 jours sur les professionnels de la cybersécurité. Ce chiffre augmente de 30 fois si c’est un code qui permet une exécution malveillante à distance.
L’argument soutenu par ceux qui divulgue les failles de sécurité est de pousser les entreprises responsables à fournir plus rapidement les correctifs de sécurité. C’est pour moi les études à prouver que cela n’est pas justifié dans la majorité des cas. De plus, les divulgations sont motivées par plusieurs raisons et certaines sont personnelles.
« Ces derniers mois par exemple, plusieurs professionnels ont décidé de dévoiler publiquement des vulnérabilités non patchée dans les produits Apple, pour protester contre la politique de l’entreprise sur les bugs bounties et le correctif de vulnérabilités. Certains dénonçaient des paiements bas, d’autres rapportaient être totalement ignorés par l’entreprise ou considéraient que leur découverte n’était pas assez prise au sérieux et tentaient de cette manière de forcer la main de la société pour l’obliger à sortir un patch. Il y a aussi des cas d’entreprises hostiles aux chercheurs qui les approchent et ces derniers peuvent donc décider de rendre leurs découvertes publiques pour les obliger à réagir tout en sachant qu’aucun dialogue n’est possible. », explique Alex Haynes.
Accédez maintenant à un nombre illimité de mot de passe :