Si on peut discuter les modalités et le timing de la remontée des failles, l'analyse de Bruce Schneier me paraît très juste. On se croirait revenu à des pratiques qu'on croyait d'un autre temps en matière de divulgation de faille. Des pratiques qui faisaient la part belle à l'immobilisme et la mauvaise foi des éditeurs. Car non content de ne pas avoir pu corriger les failles ainsi communiquées[1] avant la conférence, Siemens profite aujourd'hui de l'absence de publication pour contester la faisabilité des travaux de Meixell et Beresford. Au point qu'on en arrive à se demander pourquoi ce talk a été annulé s'il ne présentait que des vulnérabilités inexploitables dans la vraie vie, donc sans conséquence...

Ce qui pose la question des effets de bord de ce genre de compromis, décidés, paraît-il, pour le bien de tous. Car si on comprend bien la nécessité d'avoir une démarche responsable en matière de divulgation de faille, il ne faudrait pas oublier que la responsabilité est partagée entre les deux parties ; celui qui découvre la faille comme celui qui doit la corriger. Et si on entend souvent parler des obligations du premier, le second se fait bien moins souvent rappeler à l'ordre par une quelconque autorité lorsqu'il manque aux siennes. Et dans cette perspective, le Full Disclosure sauvage se révèle souvent, et malheureusement, bien plus responsable, du point de vue du bien commun, qu'un éditeur qui se défile...

Car de manière générale, il me semble que la publication complète reste plus profitable que la publication partielle. Car en même temps qu'elle fournit à certains de quoi créer des attaques en conséquence, elle permet aussi à d'autres de tirer des conclusions factuelles et diffuser de l'information décisive quant à d'éventuelles mesures de contournement et/ou de protection. Voire parfois produire des patches non officiels. En outre, l'expérience tend à montrer que même en cas de diffusion partielle, les premiers ne mettent pas très longtemps à retrouver ce qui leur manque pour parvenir à un exploit fonctionnel. Pendant que les seconds n'auront pas vraiment autre chose à se mettre sous la dent qu'un malware capturé pour comprendre de quoi il retourne exactement... Et prendre les mesures qui s'imposent...

L'actualité récente nous fournit une excellente illustration de ce que peut donner ce genre de situation avec la compromission de Lockheed Martin. En effet, si on en croit les premiers éléments publiés depuis, cet incident serait la conséquence de l'utilisation des données volées chez RSA en mars dernier. Intrusion particulièrement médiatisée pour laquelle on se plaignait, justement, du cruel manque d'information technique publiée.

Là encore, on nous expliquait que tout allait bien, que si l'efficacité du produit se trouvait réduite par la fuite, il restait efficace, et que quoi qu'il en soit, la société allait tout mettre en œuvre pour que ses clients retrouvent le niveau de sécurité qu'ils étaient en droit d'attendre. Sans pour autant expliquer de quoi il retournait, laissant la plupart des observateurs à des déductions et des conclusions plus ou moins informées. Mais surtout, privant pas mal d'opérateurs de toute capacité de décision face à cet incident. Et ce n'est que parce que toute la bonne volonté de RSA en la matière n'a pas trouvé son chemin jusqu'aux systèmes de Lockheed Martin, mais également de quelques autres sous-traitants de l'armée américaine qu'on sait aujourd'hui que le problème était probablement un peu plus sérieux qu'on voulait bien le dire...


De tels évènements démontrent combien la divulgation partielle d'information sur les failles peut se montrer contre-productive. D'abord parce ce qu'elle encourage l'irresponsabilité chez certains acteurs. Et ce d'autant plus qu'ils trouveront chez les autorités une oreille complaisante pour les conforter dans ce genre de comportements. Et tant que ces autorités ne se seront pas impliquées pour rééquilibrer la balance, il y aura toujours une place pour la diffusion sauvage et complète. Car tant décriée qu'elle soit, elle n'en reste pas moins un moindre mal face à ces cas de figure qui, après s'être fait progressivement de plus en plus rares, commencent à réapparaître avec une fréquence inquiétante. Ensuite parce qu'elle prive les décideurs des informations factuelles dont ils ont besoin.

Tout ceci devrait également amener beaucoup à considérer l'interdépendance entre différents acteurs dans la mise en œuvre d'un système, et les responsabilités que cela implique pour maintenir son niveau de sécurité. En matière de gestion d'incidents, de vulnérabilités et de fourniture des informations conséquentes par exemple. Et en particulier à s'interroger sur les raisons qui ont fait que ce que d'aucuns s'emploient à qualifier de petits riens se transforment en énormes échecs. Ce qui fait qu'une pauvre faille Flash conduit à la possible compromission d'infrastructures de défense...

Notes

[1] Mais c'est promis, ce sera fait...