Lorsqu’une vulnérabilité logicielle est découverte, en particulier par un Etat-nation ou un organisme gouvernemental, ce dernier pourrait choisir de dissimuler cette découverte, en la cachant secrètement dans le cas où elle pourrait être utilisée, comme arme secrète, à un moment jugé opportun. Mais une nouvelle étude a récemment examiné la fréquence avec laquelle les chercheurs découvraient de manière indépendante les vulnérabilités, et a constaté que le temps n’était pas toujours le paramètre le plus important pour celui qui fait la découverte en premier.
Publié à partir du projet CyberSecurity au Belfer Center for Science and International Affairs d’Harvard, ce document a décortiqué la fréquence avec laquelle les vulnérabilités de Google Chrome, Mozilla Firefox, Google Android et OpenSSL étaient redécouvertes sur plusieurs années jusqu’en 2016. À partir de l’ensemble des données, qui passait en revue plus de 4 300 vulnérabilités, entre 15% et 20% des vulnérabilités ont été redécouvertes au cours de la même année, avec un taux de redécouverte maximale de 23% pour les vulnérabilités Android en l’espace d’une seule année.
Pour un petit sous-ensemble de cas, les mêmes vulnérabilités ont été redécouvertes sur un court laps de temps. Par exemple, 6% des vulnérabilités Android ont été redécouvertes trois fois ou plus, en un an (2015-16), et 4% des vulnérabilités Firefox et 2% des vulnérabilités Chrome ont été redécouvertes plus de deux fois entre 2012 et 2016.
Le document a également révélé que la redécouverte tend à avoir lieu quelques mois après la découverte initiale. Dans le cas d’Android, 20% des vulnérabilités redécouvertes ont lieu le même mois que la découverte initiale, avec 20% supplémentaires au cours des trois mois suivants.
Ce type d’écart pourrait être un atout majeur pour mieux se protéger s’ils agissaient rapidement pour corriger la vulnérabilité, en supposant que des mesures d’atténuation ou de correction soient même possibles. D’un autre côté, ce genre de décalage peut également signifier que si quelqu’un, avec une intention malveillante, découvre une vulnérabilité en premier et la vend sur le marché noir, il peut s’écouler des mois avant qu’un “good guy” ne mette la main dessus.
Quel que soit l’enchaînement des événements, il y a une tendance qui s’applique à toutes les données présentes dans cet article : le taux de redécouverte des vulnérabilités explose littéralement. Par exemple, 2% des vulnérabilités Chrome ont été redécouvertes en 2009, alors que 19,1% ont été redécouvertes en 2016 !
Il existe un certain nombre d’interprétations possibles à ce phénomène : Peut-être que nous sommes globalement meilleurs pour trouver les vulnérabilités, ou alors les regards se concentrent davantage sur le problème, ou bien peut-être que nous partageons l’information plus efficacement. Ou enfin pour finir, et si nous voulons être un peu cyniques, peut-être qu’il existe plus de vulnérabilités à découvrir au fur et à mesure que le logiciel arrive à maturité.
Il convient de noter que ce document ne fait pas de suppositions concernant les vulnérabilités présentes dans le monde au sens large, mais seulement au niveau de leur ensemble de données. Il est tout à fait possible que le taux de redécouverte des vulnérabilités soit beaucoup plus élevé en réalité, simplement parce que nous n’avons pas l’aperçu complet de la rapidité avec laquelle les cybercriminels font les mêmes découvertes et (à l’heure actuelle tout du moins), ils ne partageront pas ces données.
Pourquoi cela est-il important ?
Cette étude attribue maintenant des nombres à un principe de cybersécurité fondamental : lorsqu’une vulnérabilité est découverte par un “good guy”, il est probable que quelqu’un d’autre avec une intention criminelle l’ait déjà découverte de son côté et l’exploite déjà activement. L’article fait valoir que lorsque nous comprendrons mieux la probabilité de la redécouverte d’une vulnérabilité, nous pourrons appliquer une pression accrue au niveau du vendeur qui “possède”, d’une certaine manière, la vulnérabilité pour davantage attirer l’attention et prioriser un correctif. Le même principe peut également fonctionner pour motiver davantage d’éditeurs de logiciels pour soutenir des programmes bug bounty.
La situation inverse s’applique également : si un type de vulnérabilités a une plus grande chance d’être redécouvert, et que la prochaine fois qu’il l’est, il s’agit en réalité d’un cybercriminel qui a l’intention de profiter de l’absence de correctifs, la motivation de l’éditeur est bien plus grande pour déployer au plus vite le correctif.
Extrait de l’article :
La compréhension de la vitesse de redécouverte contribue à informer les entreprises, montrant à quelle vitesse un bug malveillant pourrait être redécouvert par un tiers malveillant et utilisé pour prendre d’assaut le logiciel de l’entreprise. Ce constat devrait faire en sorte que les cycles de correctifs soient plus réactifs vis-à-vis des vulnérabilités avec un laps de redécouverte court, tout en offrant plus de temps pour celles dont le laps de temps est plus long.
Les taux de redécouverte des vulnérabilités sont également une variable clé dans les discussions sur la question de savoir si les agences gouvernementales, qui stockent des vulnérabilités secrètement, devraient divulguer ces dernières plus souvent. Cette question est d’actualité, si l’on considère les données concernant les vulnérabilités détenues par les NSA et divulguées par les Shadow Brokers au début de cette année, et qui ont débouché sur WannaCry et Petya. Le taux potentiel de redécouverte est l’une des variables que les organismes gouvernementaux doivent garder à l’esprit si une vulnérabilité qu’ils ont découverte risque de rester secrète pendant longtemps. Est-ce une bonne chose, pour le plus grand bien de chacun, de divulguer les vulnérabilités dès que possible ?
La réalité est qu’un certain nombre de questions abordées dans cet article ont été posées depuis un certain temps maintenant, et même si elle attribue des données précieuses à certains aspects de cette argumentation, les questions à l’ordre du jour sont encore à débattre, surtout après la divulgation des Shadow Brokers :
- Combien de temps un éditeur dispose-t-il vraiment pour corriger une vulnérabilité trouvée par un “good guy”, et avant qu’un “bad guy” ne fasse la même découverte ?
- Les organismes gouvernementaux font-ils plus de mal que de bien à eux-mêmes et à leurs concitoyens en cachant les vulnérabilités ?
- Existe-t-il encore trop de barrières logistiques pour que les chercheurs en cybersécurité puissent partager de manière responsable et facile leurs découvertes en matière de vulnérabilités ?
Cet article est une intéressante lecture pour ceux qui recherchent des données concernant le cycle de vie des vulnérabilités. Faites-nous savoir ce que vous en pensez : cette recherche a-t-elle changé votre point de vue sur la façon dont les organisations devraient partager les informations sur les vulnérabilités ?
Billet inspiré de Good guys and bad guys race against time over disclosing vulnerabilities, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.