Divulgation complète

En sécurité informatique, la divulgation complète (en anglais, full disclosure) est la pratique consistant à publier les vulnérabilités des logiciels jusqu'alors inconnues à tous le plus tôt possible, ce qui rend les données accessibles à tous sans restrictions.

Des chercheurs bien intentionnés et des pirates informatiques découvrent souvent des défauts dans des logiciels. Ces défauts peuvent être exploités par les pirates informatiques pour provoquer des comportements anormaux des logiciels et ainsi nuire aux utilisateurs des logiciels. Ces défauts sont appelés des vulnérabilités informatiques. Le processus par lequel l'information sur ces vulnérabilités est partagée avec des tiers fait l'objet de nombreux débats et est désigné comme la politique de divulgation des vulnérabilités.

Le but principal de la divulgation complète des vulnérabilités est de permettre que les victimes potentielles des vulnérabilités sont aussi informées que les pirates qui les attaquent^[1].

Dans son essai sur le sujet, Bruce Schneier a déclaré que « La divulgation complète - la pratique consistant à rendre publiques les vulnérabilités de sécurité - est une très bonne chose. L'examen public est le seul moyen fiable d'améliorer la sécurité, alors que le secret ne nous rend que plus vulnérables^[2].

Leonard Rose, cocréateur d'une liste de diffusion électronique qui a remplacé bugtraq pour devenir le forum de facto pour la diffusion d'avis de sécurité, mentionne que « nous ne croyons pas à la sécurité par l'obscurité et, de notre point de vue, la divulgation complète est la seule façon de s'assurer que tout le monde, et pas seulement les initiés, ont accès à l'information dont ils ont besoin. »^[3].

Le débat sur la divulgation de la vulnérabilité

La controverse sur la divulgation publique d'informations sensibles sur les vulnérabilités n'est pas nouvelle. La question de la divulgation complète a d'abord été soulevée dans le contexte de la serrurerie, lors d'une controverse dans la communauté des serruriers au XIX^e siècle concernant la divulgation des faiblesses des systèmes de verrouillage^[4].

Aujourd'hui, il existe trois grandes politiques de divulgation dans lesquelles la plupart des autres peuvent être catégorisés : la non-divulgation, la divulgation coordonnée et la divulgation complète^[5].

Les politiques de divulgation des principales parties prenantes à la recherche sur la vulnérabilité sont fortement influencées par leurs motivations et leurs intérêts. Il n'est pas rare de voir les divers groupes faire campagne pour promouvoir leur politique et blâmer les promoteurs des autres politiques.

De nombreux chercheurs de premier plan en sécurité favorisent la divulgation complète, alors que la plupart des éditeurs de logiciels préfèrent la divulgation coordonnée. La non-divulgation est généralement favorisée par les fournisseurs d'exploits et les hackers black hat^[6].

Divulgation coordonnée

Les promoteurs de la divulgation coordonnée croient que les éditeurs de logiciels ont le droit de contrôler les informations concernant la vulnérabilité de leurs produits^[7].

La règle principale de la divulgation coordonnée est que personne ne devrait être informé d'une vulnérabilité jusqu'à ce que l'éditeur du logiciel donne son autorisation. Bien qu'il existe des exceptions ou des variations de cette politique, la divulgation coordonnée prône que la distribution de l'information sur une vulnérabilité doit d'abord être limitée et les éditeurs doivent bénéficier d'un accès privilégié à cette information.

Les défenseurs de la divulgation coordonnée préfèrent souvent le terme moins descriptif divulgation responsable inventé par Scott Culp, le responsable de la sécurité chez Microsoft, dans son essai It's Time to End Information Anarchy (Il est temps de mettre fin à l'anarchie de l'information) sur la divulgation complète^[8]. Microsoft a ensuite demandé que le terme divulgation responsable soit abandonné et remplacé par divulgation coordonnée^[9].

De nombreux praticiens estiment que les utilisateurs finaux ne peuvent pas bénéficier de l'accès à des informations sur les vulnérabilités sans conseils ni correctifs de l'éditeur. Conséquemment, les risques que l'information soit exploitée par des acteurs malveillants sont plus grands que les bénéfices que les utilisateurs peuvent en tirer. Comme l'expliquait Microsoft, « la divulgation coordonnée sert les intérêts supérieurs de chacun en veillant à ce que les clients reçoivent des mises à jour complètes et de haute qualité pour les vulnérabilités de sécurité, mais ne soient pas exposés à des attaques malveillantes alors que la mise à jour est en cours de développement »^[10].

Divulgation complète

La divulgation complète est la politique de publication d'informations sur les vulnérabilités sans restrictions le plus tôt possible, ce qui rend l'information accessible au grand public sans restrictions. En général, les promoteurs de la divulgation complète croient que les avantages de la disponibilité des informations sur les vulnérabilités l'emportent sur les risques.

La disponibilité d'informations sur les vulnérabilités permet aux utilisateurs et aux administrateurs de systèmes informatiques de comprendre et de réagir aux vulnérabilités de leurs systèmes et permet aux clients de faire pression sur les fournisseurs pour corriger les vulnérabilités que les vendeurs ne sont pas toujours pressés de résoudre. La divulgation complète peut résoudre certains problèmes fondamentaux de la divulgation coordonnée :

• si les clients ne connaissent pas les vulnérabilités, ils ne peuvent pas demander des correctifs, et les fournisseurs ne ressentent aucune incitation économique pour corriger les vulnérabilités ;
• les administrateurs de systèmes ne peuvent pas prendre de décisions éclairées sur les risques encourus par leurs systèmes, car les informations sur les vulnérabilités sont restreintes ;
• les pirates informatiques qui connaissent les vulnérabilités ont une longue période de temps pour les exploiter.

La découverte d'une vulnérabilité spécifique n'est pas un événement rare et exclusif. De multiples chercheurs ayant des motivations différentes peuvent découvrir les mêmes vulnérabilités indépendamment.

Il n'existe aucun moyen standard de rendre l'information sur la vulnérabilité accessible au public. Les chercheurs utilisent souvent des listes de diffusion consacrées au sujet, des publications scientifiques ou des conférences pour annoncer leurs découvertes.

Non-divulgation

La non-divulgation est le principe selon lequel aucune information sur une vulnérabilité ne devrait être partagée ou ne devrait être partagée qu'en vertu d'un accord de non-divulgation (contractuellement ou informellement).

Les partisans habituels de la non-divulgation sont les fournisseurs d'exploits commerciaux, les hackers qui ont l'intention d'exploiter les vulnérabilités qu'ils trouvent^[5], et les certains éditeurs qui croient que toute information sur les vulnérabilités aide les pirates informatiques.

Débat

Arguments contre la divulgation coordonnée

Les intervenants pour une divulgation coordonnée croient que les utilisateurs ne peuvent pas utiliser l'information sur les vulnérabilités sans l'aide du fournisseur et que la majorité des utilisateurs est mieux servie par une limitation de la distribution de ces informations. Les partisans de la divulgation coordonnée affirment que des attaquants peu qualifiés peuvent utiliser l'information fournie par une divulgation complète pour mener des attaques qui seraient autrement au-delà de leurs capacités. Conséquemment, les bénéfices potentiels de la divulgation complète ne l'emportent pas sur les dommages potentiels causés par des acteurs malveillants. Selon eux, ce n'est que lorsque le fournisseur a préparé des correctifs que même les utilisateurs les moins sophistiqués peuvent appliquer que l'information devrait être rendue publique.

Cet argument présuppose que la découverte d'une vulnérabilité est un événement rare et qu'une vulnérabilité n'est connue que d'une seule personne. Malheureusement, ce n'est pas le cas. Il existe de nombreux exemples de vulnérabilités découvertes simultanément par plusieurs pirates informatiques, souvent exploitées en secret avant la découverte par un chercheur qui sonne l'alarme^[11]. Bien qu'il existe des utilisateurs qui ne peuvent pas bénéficier d'informations sur les vulnérabilités, les défenseurs de la divulgation complète croient que la négation des bénéfices de la divulgation complète démontre un mépris pour l'intelligence des utilisateurs. Bien qu'il soit vrai que certains utilisateurs ne peuvent pas bénéficier d'informations sur les vulnérabilités, s'ils sont concernés par la sécurité de leurs réseaux, ils peuvent embaucher un expert pour les aider comme ils engageraient un mécanicien pour les aider à réparer un problème avec leur automobile.

Arguments contre la non-divulgation

La non-divulgation est généralement utilisée lorsqu'une personne a l'intention

• d'utiliser la vulnérabilité pour attaquer un système informatique pour en tirer un bénéfice financier ou pour nuire à une organisation considérée comme un ennemi
• ou de vendre l'information sur la vulnérabilité à quelqu'un qui l'exploitera pour en tirer profit ou nuire à un ennemi.

Les personnes qui pratiquent la non-divulgation ne sont généralement pas concernées par l'amélioration de la sécurité des systèmes informatiques ou la protection des réseaux. Quelques partisans de la non-divulgation prétendent qu'ils ne veulent tout simplement pas aider les vendeurs en faisant le travail que les vendeurs auraient dû faire en premier lieu. Ces partisans de la non-divulgation disent qu'ils n'ont pas l'intention d'exploiter une vulnérabilité pour nuire à d'autres personnes.

Les promoteurs de la divulgation complète et de la divulgation coordonnée ont des valeurs, des objectifs et des motivations similaires, tout en étant en désaccord sur la meilleure façon de les atteindre. Les promoteurs de la non-divulgation ont des valeurs et des motivations complètement différentes concernant la sécurité des systèmes, des informations et des réseaux.

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Full disclosure » (voir la liste des auteurs).

1. (en) Jay Heiser, « Exposing Infosecurity Hype » [archive du 28 mars 2006], Information Security Mag, TechTarget, janvier 2001 (consulté le 29 avril 2013)
2. (en) Bruce Schneier, « Damned Good Idea », CSO Online (consulté le 29 avril 2013)
3. (en) Leonard Rose, « Full-Disclosure »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, A lightly-moderated mailing list for the discussion of security issues (consulté le 31 aout 2017)
4. (en) Alfred Hobbs, Locks and Safes: The Construction of Locks, Londres, Virtue & Co., 1853
5. (en) Stephen Shepherd, « Vulnerability Disclosure: How do we define Responsible Disclosure? », SANS GIAC SEC PRACTICAL VER. 1.4B (OPTION 1), SANS Institute (consulté le 29 avril 2013)
6. (en) Robert Moore, Cybercrime : Investigating High Technology Computer Crime, Matthew Bender & Company, 2005, 258 p. (ISBN 1-59345-303-5), p. 258
7. (en) Steve Christey, « Responsible Vulnerability Disclosure Process », IETF (consulté le 29 avril 2013), p. 3.3.2
8. (en) Scott Culp, « It’s Time to End Information Anarchy », Technet Security, Microsoft TechNet (version du 9 novembre 2001 sur Internet Archive)
9. (en) Dan Goodin, « Microsoft imposes security disclosure policy on all workers », The Register (consulté le 29 avril 2013)
10. (en) Microsoft Security, « Coordinated Vulnerability Disclosure » (consulté le 29 avril 2013)
11. (en) Ac1d B1tch3z, « Ac1db1tch3z vs x86_64 Linux Kernel » (consulté le 29 avril 2013)

Voir aussi

Articles connexes

• Divulgation responsable, une variante de la divulgation complète
• Sécurité du système d'information
• Insécurité du système d'information

•   Portail de la sécurité informatique