Du rôle bénéfique des hackers...

Par Sid, vendredi 14 juillet 2006 à 19:08 :: (In)Sécurité :: lu 3930 fois :: #96 :: rss :: atom ::

Seringue

K, je l'avoue, j'ai bassement cédé à la facilité dans mon titre, où je reprends allègrement le sens du mot hacker tel qu'entendu par l'auteur du papier qui motive le centième billet de ce blog, à savoir une personne compétente dans l'art de pénétrer les systèmes de sécurité informatique, qu'elle le fasse légalement ou pas, ce qui n'est évidemment pas le sens que je donne à ce mot. D'aucuns diront que c'est pour attirer le châlan. Certes, certes, il y a un peu de ça... Il y a peut-être également quelque autre dessein derrière cette confusion sémantique volontaire, qui sait, un prochain billet sans doute ?

Le journal Harvard Law Review a donc publié, dans son édition de juin 2006. un article intitulé Immunizing the Internet, or how I learned to stop worrying and love the worm. Son auteur y avance la thèse qu'Internet peut être comparé à un système évoluant, au sens de la théorie éponyme, et qu'à ce titre il bénificierait d'une sorte de système immunitaire que les attaques qu'il subit contribueraient à renforcer, le rendant in fine plus résistant aux agressions de plus grande ampleur.

"Tout ce qui ne tue pas rend plus fort", telle semble être la devise de ce papier...

Si les arguments avancés dans cet article sont quelque peu contestables, aussi bien sur les hypothèses avancées que sur le raisonnement qui conduit aux conclusions, il a le mérite de mettre en avant l'évidente différence entre le monde réel et le monde numérique. Il fait également état d'idées et de théories intéressante. Ainsi, le raisonnement selon lequel les attaques contribueraient à augmenter le niveau de sécurité générale en ce qu'elle permettent d'accélérer la diffusion des correctifs et, dans des cas rares, typiquement les 0-days, de produire des correctifs pour des failles jusque là inconnues. On appréciera en outre l'exposé sur la grande générativité d'Internet, c'est à dire sa capacité à évoluer grâce à l'expérience acquise, donc dans le domaine qui nous intéresse ici, son aptitude à devenir de moins en moins vulnérable avec le temps qui passe.

Sauf que la pratique nous prouve la générativité d'Internet a aussi ses limites. Il y a certes une capacité d'évolution extrêmement rapide, mais celle-ci semble parfois bien pauvre quant à l'exploitation de l'expérience collective. Une sorte d'amnésie chronique qui appelle l'histoire à se répéter sur des cycles eux aussi relativement courts. C'est ce que devait montrer Pierre Vandevenne au dernier SSTIC dans sa présentation qui n'a pu se tenir. Cependant, et maintenant que les actes sont disponibles, je vous invite à lire son article, ça devrait vous rappeler des choses, aussi bien lointaines que proches dans le temps. On pourra également se tourner vers l'exemple édifiant qu'est IPv6, avec, au milieu de pas mal d'améliorations incontestables, la conservation, voire la ré-introduction, de mécanismes connus pour être dommageables, comme la fragmentation, qui pourrait même s'avérer plus gênante qu'en IPv4, et le retour du source routing pourtant banni des réseaux IPv4. "People never learn" semble être un adage qui colle à Internet comme les trolls poilus aux forums.

Parce que tout génératif qu'il soit, Internet n'en est pas moins également différent des systèmes génératifs biologiques auxquels l'auteur de cet article le compare. Exactement comme il diffère du monde réel en ce qu'il autorise l'ubiquité ou la possession simultanée d'un même objet par exemple. Peut-être parce que le fonctionnement d'un système immunitaire biologique est infiniment moins soumis à tout ce que l'homme peut inventer de solutions bancales, idées reçues et autres escroqueries intellectuelles. Mamadou le marabou vous fait marrer avec ses pouvoirs magiques ? Sur Internet, il gagnerait de l'argent en vendant des firewalls. Car c'est bien là un aspect majeur d'Internet que d'avoir une sécurité aussi soumise à des raisons que la raison ignore...

Je vous recommande quand même la lecture de ce papier. Il est très intéressant. Sans aller aussi loin que son auteur dans ses conclusions, je trouve tout de même qu'il regorge d'arguments en faveur d'une publication responsable, mais très documentée, des failles découvertes^[1].

Et puis c'est pas tout ça, mais j'ai quelques jours de vacances qui m'attendent...

Notes

[1] I.e. du responsible full disclosure

Commentaires

1. Le mardi 18 juillet 2006 à 00:22, par Bruno Kerouanton

Très bon billet, je te rejoins sur ce point. Bonnes vacances !

2. Le jeudi 20 juillet 2006 à 14:42, par jme

J'ai lu son article lors du SSTIC et j'avais déjà exprimé ici mon avis sur son sujet.

Pour ce qui est du full disclosure, je te rejoins et ajoute que pour moi, ceux qui balancent une vulnérabilité avec poc fonctionnel et tout le toutim ne valent pas mieux que ceux qui exploitent ensuite les poc.

C'est un peu réducteur mais je suis en vacances, je vais aller au Louvres, je n'ai donc pas le temps de m'étendre :p

Réponse de Sid

Mon avis est moins tranché que le tien et j'ai tendance à rejoindre celui de Yann.

La responsabilité dans le process de remontée de faille tient à mon avis à l'établissement d'une relation efficace entre le découvreur et l'éditeur pour que la faille soit corrigée proprement dans un délai raisonnable. De fait, les deux parties ont un rôle à jouer là-dedans. L'idée étant d'arriver à un moment où tout le monde peut publier tranquillement son petit truc.

À partir de ce moment là, je suis pour le full-disclosure, exploits et autres PoC fonctionnels compris. Encore que des fois, en particulier pour les applications grand-public, tu sens bien que ça pourrait vite devenir la cata vu la vitesse à laquelle les gens patchent leurs systèmes... De toute manière, ce qui est vital, ce n'est pas tellement l'exploit, c'est la description complète de la faille, ce qui permet d'en analyser les conditions d'exploitation et l'impact réel.

Pourquoi la publication complète ? Parce que ça ne sert à rien de cacher de l'info, c'est même plutôt dommageable dans la mesure où ça encourage certains éditeurs à diminuer la criticité des alertes qu'ils produisent ou à produire des moitiés de patch. Et des exemples de l'un ou l'autre, on en trouve tous les jours, et ceux qui ont suivi quelques publications récentes en ont un pour les deux en même temps. Grin...

En gros, plus t'es gentil avec les éditeurs et plus ils ont tendance à mettre le frein, enfin certains d'entre eux. Parce qu'il ne faut pas se cacher la vérité, même si tout le monde essaye de montrer une belle image d'éditeur réactif qui prend en compte la sécurité et les vulnérabilités qu'on lui remonte (yes, we do care), chaque publication de faille leur coûte en image et en argent. D'ailleurs il suffit de regarder comment les gens comparent la sécurité des produits : ils compte le nombre de failles (quand ils savent compter), évidemment. C'est tellement plus simple de ne pas se creuser la tête...

3. Le jeudi 20 juillet 2006 à 15:27, par Yann

L'article est vraiment bien, j'aime de nouveau bien ton point de vue. Mais contrairement à jme, je trouve que les PoC sont bien, ils permettent de tester si tu es vulnérable, ce qui n'est pas toujours évident à savoir en lisant sympa. Mais je parle simplement de tester les PoC, pas de les exploiter à des acts malveillants.

Vous avez de la chance, pas de vacances durant tout l'été :( Je dois attendre cet automne. Je pense que Singapour doit être un peu plus sympa que le Louvres :)

4. Le vendredi 21 juillet 2006 à 18:38, par jme

Quand je parle de POC fonctionnel, je parle d'un poc de type remote shell. Franchement, je trouve cela limite criminel (au sens figuré) alors que je n'ai aucun problème avec un poc qui reste un poc et pas une solution de piratage clé en main.

Si tu veux montrer l'exécution arbitraire de commandes, il va bien falloir que ton PoC exécute quelque chose, non ? Sinon l'éditeur, il va te classer ça en remote DoS. Et à partir de là, tu n'es certes pas en présence d'une solution clé en main, mais passer du quelque chose à un cmd.exe ou autre commande bien sentie, c'est plus très difficile (même pour moi, c'est dire).

5. Le samedi 22 juillet 2006 à 09:08, par newsoft

Tu peux toujours spawner un CALC.EXE :)

En tout cas moi je suis pour le PoC (en tant que pentesteur). Ca permet d'être crédible face au client lorsqu'on lui dit "vous devriez appliquer les patches". Sinon on a toujours tendance à se faire traiter d'intégriste qui ne comprend rien à la réalité de l'entreprise.

De toute façon les PoC publics sont toujours ajoutés dans les bases antivirus et IDS, donc ça ne me semble pas si "criminel" que ça.

6. Le lundi 31 juillet 2006 à 15:24, par yom

On dit "Le Louvre". Ne serait-ce que parce qu'il n'y en a qu'un... :-)

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Rechercher

Calendrier

Hitmap

Dans la catégorie "(In)Sécurité"

Langues

Catégories

Archives

Liens

Blogs

Chez moi (from me)

Webcomics

Copains (friends)

Liens

Syndication

« juillet 2010
lun	mar	mer	jeu	ven	sam	dim
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31