En effet, on peut y lire[1] :

Microsoft is disappointed that certain security researchers
have breached the commonly accepted industry practice of
withholding vulnerability data so close to update release
and have published exploit code, potentially harming
computer users. We continue to urge security researchers
to disclose vulnerability information responsibly and allow
customers time to deploy updates so they do not aid
criminals in their attempt to take advantage of software
vulnerabilities.

Pour résumer, pouah les gros méchants de Metasploit, ils ont sorti leur exploit trop tôt ! 9 jours, c'est pas assez... OK, j'arrête la paraphrase, lisez leur blog. Par contre, il y a des choses qui méritent à mon avis un peu plus d'attention, voire de réflexion.

Il y a d'abord le listing, non exhaustif certes, de différentes politiques de diffusion de failles par divers acteurs du marché. Et on peut constater une "intéressante" diversité, certains allant même jusqu'à vendre l'accès aux exploits avant même de notifier l'éditeur... Il y aurait certes beaucoup à dire sur la diffusion de failles de sécurité et exploits associés, ainsi que sur la vente de ces informations, mais alors qu'un consensus est globalement entendu sur le concept de démarche bilatérale responsable dont la RFPolicy est un exemple[2] parmi d'autres, certains acteurs ayant pignon sur rue prennent des libertés difficilement justifiables, aussi bien du côté des chercheurs que du côté des éditeurs. Et je vise ici ces derniers en particulier parce que ce sont quand même eux qui passe leur temps à réclamer un comportement plus responsable de la part de l'autre camp[3].

Le second point intéressant, c'est le double discours des gros éditeurs qui sont globalement bien contents que les gens fassent de la recherche de faille et leur communiquent leurs découvertes dans la mesure où ça leur fournit du contrôle qualité à moindre coût. Le problème c'est que quand on externalise vers une population aussi large et variée, on perd tout contrôle sur la gestion du process. On a donc d'un côté des techos sympas qui accueillent plutôt favorablement les remontées de failles et informations associées et de l'autre un management qui passe son temps à pester et renâcler parce que tout ne se passe pas toujours comme ils le voudraient. En particulier, ils n'aiment pas les bulletins détaillés et encore moins les exploits, avançant que cela facilite le travail des méchants. Pas faux. Mais c'est également un passage obligé pour toutes les personnes désireuses de comprendre réellement les conditions de réalisation et l'impact des failles publiées. On se souviendra en particulier que si la mise à disposition d'un exploit pour le célèbre bug RPC/DCOM a permis une des diffusions virales les plus marquantes de ces dernières années, il a également permis de découvrir que le bulletin fourni par Microsoft ne couvrait pas complètement la vulnérabilité qui n'était donc pas totalement corrigée.

Ce double discours est d'autant plus dommageable que ça mine les efforts consentis dans la mise en place d'équipes et de procédures spécifiques, à grand renfort de communication, pour gérer la remontée de failles en ce qu'il pousse une population non négligeable à se détourner de ces structures pour aller vers la vente de leurs trouvailles[4], la diffusion sauvage, générale ou restreinte.

Je vais me faire taxer de bisounoursisme aigü mais c'est pas grave ; je suis profondément convaincu que les éditeurs et ce que d'aucuns appellent la communauté de la sécurité informatique ont un intérêt commun à arrêter de se voiler la face et se mettre d'accord sur une[5] politique commune claire plutôt que d'y aller chacun de son grain de sable. Certes, il y aura toujours des réfractaires, mais au moins, cela aura pour intérêt majeur de ne pas décourager ceux qui ont envie de travailler dans ce cadre.

Notes

[1] Cf. autre bulletin du même tonneau.

[2] Dont les délais sont amha trop restreints, mais bon, personne n'est parfait.

[3] Pour autant qu'on puisse distinguer des camps, puisqu'au final, quel que soit le camp considéré, on est tous censé aller dans le même sens.

[4] Vaste sujet que la vente des vulnérabilités, en particulier si on considère les différents acheteurs présent sur le marché.

[5] À opposer avec toutes les politiques de diffusion qui peuvent co-exister aujourd'hui.