Le débat, visant les agences américaines de renseignement et la collecte ainsi que l’utilisation des vulnérabilités trouvées dans les logiciels utilisés par leurs propres citoyens, ne finira probablement jamais.
Mais deux récents rapports de recherche, présentés à la conférence Black Hat, font valoir que l’analyse des données devrait avoir plus de poids que de simples «spéculation et anecdote» dans la définition de la politique gouvernementale en matière de cybersécurité.
Deux parties sont bien établies à l’heure actuelle
D’un côté, les agences de renseignement doivent conserver un ensemble de vulnérabilités secrètes pour espérer pénétrer au sein des communications ou les cyber-armes des cybercriminels, des terroristes et des gouvernements hostiles. C’est un élément crucial pour la sécurité intérieure du pays.
De l’autre côté, le problème est qu’elles ne restent pas toujours secrètes. Et si ces vulnérabilités sont divulguées ou découvertes par un autre biais par des acteurs malveillants, elles peuvent être exploitées pour attaquer des millions d’utilisateurs innocents ou des systèmes critiques, et avant même qu’elles ne soient corrigées. Ce qui peut être très dommageable pour la sécurité nationale.
En effet, la divulgation il y a environ un an par les fameux Shadow Brokers d’un stock top-secret de capacités d’espionnage, censé appartenir à la National Security Agency (NSA), a nettement renforcé les doutes concernant la surveillance gouvernementale, qui semblait s’étendre bien au-delà de la seule cible terroriste.
Jason Healey, expert principal en cyber conflit et risque à la Columbia University’s School of International and Public Affairs, et également membre senior du Conseil de l’Atlantique, a noté dans un article publié en novembre dernier que sur les 15 vulnérabilités zero-day dans la version initiale, plusieurs “étaient des produits de cybersécurité édités par Cisco, Juniper et Fortinet, chacun largement utilisé pour protéger les entreprises américaines et les infrastructures critiques, ainsi que d’autres systèmes dans le reste du monde”.
Plus récemment, et plus précisément à partir de mars dernier, la vague de divulgation de documents WikiLeaks “Vault 7” a clairement dévoilé les efforts de la CIA pour exploiter la technologie Microsoft et Apple pour mettre en œuvre une surveillance.
Sans se préoccuper du débat spécifique sur la confidentialité des vulnérabilités, plusieurs chercheurs au Harvard Kennedy School’s Belfer Center for Science and International Affairs ont récemment publié un article dans l’espoir : “qu’il incite la collecte de données et une analyse plus rigoureuse concernant ce que coûte au service de renseignement la divulgation d’une vulnérabilité et ce que cela coûte aux citoyens et aux utilisateurs la non divulgation de cette dernière”.
Il a signalé que l’analyse d’un ensemble de données de plus de 4 300 vulnérabilités a révélé que “la redécouverte (d’une vulnérabilité) se produit plus souvent que précédemment”.
Ils ont poursuivi en déclarant :
Lorsque l’on ajoute à cela, une estimation du nombre total de vulnérabilités utilisées par la NSA, les taux affichés suggèrent que la redécouverte de vulnérabilités, gardées secrètes par le gouvernement des États-Unis, peut être la source d’environ un tiers de toutes les vulnérabilités zero-day détectées en utilisation chaque année.
Un autre document, en provenance de RAND Corporation, vise à établir “certaines mesures basiques concernant la durée de vie moyenne des vulnérabilités zero-day, la probabilité qu’une tierce partie découvre une vulnérabilité dans un délai donné, et le temps et les coûts impliqués dans le développement d’un exploit s’appuyant sur une vulnérabilité zero-day”.
Selon leurs résultats, les exploits zero-day et leurs vulnérabilités sous-jacentes, “ont une espérance de vie moyenne assez longue (6,9 ans). Seulement 25% ne survivent pas plus de 1,51 ans et seulement 25% vivent plus de 9,5 ans”.
La présentation combinée au Black Hat s’est concentrée en partie sur ce que les deux groupes ont étudié, à savoir le Vulnerability Equities Process (VEP), qui permet de déterminer si “une vulnérabilité logicielle connue du gouvernement américain sera divulguée ou gardée secrète”.
Le Belfer Center group a déclaré qu’il n’avait pas l’intention de “relancer” le débat du VEP dans leur article. Mais étant donné qu’ils ont, avec RAND, fait une partie de “l’analyse rigoureuse” qu’ils avaient demandée, pourquoi ne pas au moins en profiter ?
Trey Herr, un membre postdoctoral du projet cybersécurité du Centre Belfer et co-auteur de ce document, a déclaré que, si l’utilisation par le gouvernement des vulnérabilités est “nécessaire”, il pense que le gouvernement n’a pas “très bien géré” la limite entre la divulgation et le secret.
Il a déclaré que même l’ancien directeur de la NSA, le Général Michael Hayden, a reconnu que si l’agence ne peut pas sécuriser ses capacités secrètes, elle ne devrait pas être autorisée à collecter et conserver la moindre donnée.
Mais Herr, dans un article sur le blog de Lawfare, a déclaré qu’il espérait que le PATCH (Protecting our Ability to Counter Hacking) Act introduit récemment au Congrès “codifiera” le processus VEP, “afin de faciliter la responsabilisation et la continuité entre les administrations”.
Il a déclaré que le projet de loi était significatif parce que “c’est la première fois que le Congrès participera activement à une discussion pertinente sur la divulgation par le gouvernement des vulnérabilités”.
Mais Herr soutient également que, même si un équilibre juste entre la divulgation et le secret est atteint, “ce n’est qu’un petit morceau du casse-tête en matière de cybersécurité des logiciels”.
Billet inspiré de Should governments keep vulnerabilities secret ?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.