Bug bounty et marché des 0-days

Il y a 4 ans, des chercheurs en vulnérabilités lançaient la campagne « No More Free Bugs »(1)  pour décourager leurs pairs de divulguer gratuitement aux éditeurs concernés les vulnérabilités identifiées dans leurs solutions. Le travail des chercheurs en sécurité informatique a en effet longtemps été peu respecté (accusé de réception et correctifs tardifs, poursuites en justice,…), et peu rétribué (2).

A l’opposé, les chercheurs ne sont pas toujours exempts de reproches, notamment lorsqu’ils exigent des éditeurs un correctif en quelques jours ou prétextent ne pas trouver les coordonnées adéquates pour signaler la vulnérabilité. Et certains « jusqu’au-bout-istes » ne s’imposent aucune limite, même si leur divulgation expose des systèmes à un risque immédiat important.

La publication responsable (« responsible disclosure ») tend cependant à se généraliser, et la norme ISO 29147 viendra bientôt contribuer à améliorer encore cette pratique. Un petit nombre de revendeurs de vulnérabilités contribuent également depuis des années à mettre en relation chercheurs et éditeurs de solutions.  Et en plus des éditeurs, un nombre croissant (3) d’organisations de tous secteurs propose aujourd’hui directement des programmes appelés «  bug bounty », c’est-à-dire de « récompense contre publication responsable » :
– FAI et hébergeurs,
– réseaux sociaux et jeux en ligne,
– fournisseurs de service de paiement et banques,
– e-commerçants et applications mobiles,
– etc.

Même certains gouvernements s’y mettent pour les vulnérabilités touchant leurs systèmes, par exemple en Hollande (4).
Facebook et Microsoft financent de leur côté un programme de divulgation responsable, mais également de vulnérabilités affectant des logiciels, protocoles ou langages de programmation tiers(5) . Des voix s’élèvent d’ailleurs depuis quelques années (6)  pour que le gouvernement américain acquière un maximum de vulnérabilités et les diffuse aux éditeurs, afin de limiter les dérives potentielles du marché de la vente d’exploits et autres vulnérabilités 0-days.
Dans la réalité, les services secrets de nombreux pays d’un côté et des groupes de cybercriminels de l’autre contribuent à entretenir ce marché, car ils n’ont pas pour objectif de faire corriger les solutions impactées, mais respectivement de disposer de capacités de lutte informatique offensive et de moyens pour commettre leurs actes délictueux.

Le « dox » : une divulgation à l’état sauvage

Internet facilitant un certain anonymat, un phénomène en explosion appelé « dox » consiste de son côté à diffuser publiquement et sans accord des informations personnelles telles que le nom, âge, statut marital et familial, adresse postale et IP, photo, mots de passe, employeur, etc. associées à une identité numérique

Cette pratique s’est particulièrement développée du fait de la tentation du vigilantisme, forte au sein des mouvements hacktivistes (7) et auprès des jeunes internautes confrontés au quotidien au harcèlement en ligne (« cyberbullying »).
Des impacts judiciaires, psychologiques ou financiers touchent dès lors les personnes victimes de ces divulgations. Certains « dox » se révèlent évidemment erronés (volontairement ou non), et des individus lambda dont l’identité a été usurpée subissent en plus les dommages collatéraux de ces divulgations « sauvages ».

Le marketing prime sur la sécurité ?

Des cybercriminels peuvent également être « doxés » par des sociétés de cybersécurité qui décident de diffuser sciemment des informations personnelles identifiant des cybercriminels présumés, parfois sans coordination préalable avec les forces de l’ordre ou organisations visées par les pirates. Ce faisant, ils mettent en plus en péril des poursuites judiciaires en cours ou futures.
Par ailleurs, des organisations victimes d’attaques ciblées se plaignent de plus en plus de cette obstination à la « course au communiqué de presse » que se livrent certains acteurs du domaine de la cybersécurité. En effet, dans certains cas, des informations sur les attaques permettent éventuellement de retrouver les organisations victimes auxquelles il est fait allusion.
Le marketing et dans une certaine mesure le « FUD » (« Fear, Uncertainty and Doubt ») guide en effet toujours une partie du secteur de la lutte contre la cybercriminalité.

Information et désinformation : la professionnalisation des cybercriminels

Mais les cybercriminels aguerris, et les concepteurs de malware en particulier, surveillent en permanence les diffusions d’informations pouvant nuire à leur propre anonymat ou à la sécurité ou efficacité de leurs ressources (serveur, botnet, code malveillant, etc.). Ils mettent ainsi souvent à peine quelques heures ou jours avant de corriger une vulnérabilité de leurs applications ou un paramétrage de leurs botnets défaillant.
Les cybercriminels aussi n’hésitent pas à faire fuiter des informations sur un client ou fournisseur soupçonné de les arnaquer, un concurrent gênant (8) , etc.
Ainsi les sections consacrées aux escrocs (nommés « rippers ») sur les forums de cybercriminels figurent parmi les plus actives.
Mais dans certains cas, des fausses pistes sont volontairement semées, afin de détourner l’attention. Un développeur de malware activement recherché peut même parfois décider de diffuser publiquement son code. Cela multiplie en effet le nombre d’utilisateurs de ce malware et complexifie de fait les investigations.

 

Dans cette jungle de publications plus ou moins responsables, les RSSI peuvent se sentir démunis. Ils sont en tout cas souvent en première ligne pour mettre en œuvre les moyens à même de détecter le plus vite toute divulgation d’informations impactant l’organisation. Pour ce faire, ils peuvent faire appel à des sociétés spécialisées à même d’analyser différentes sources représentant de gros volumes de données.
Avant qu’il ne soit trop tard, il est également primordial de s’exercer via des scénarios réalistes, afin d’éprouver les processus internes de gestion de crise face à une diffusion publique d’informations sensibles.

 

Références