Vulnérabilités zero-day : est-il vraiment pertinent de les rendre publiques ?

06 janvier 2022 à 17h50
4
Piratage

Avec la récente découverte de la faille Log4Shell , été rendue publique avant qu’un patch soit officiellement disponible, une question revient : est-il bien raisonnable de dévoiler publiquement des zero-day ?

C’est en tout cas ce que se demande Alex Haynes sur Helpnet Security, qui consacre un nouvel article au sujet.

Une question récurrente

En décembre, Log4Shell a provoqué un mini-séisme dans le monde de l’informatique : une faille dans un logiciel open-source très populaire, facile à exploiter par n’importe qui et pour laquelle des preuves de concept ont été publiées avant qu’un patch soit validé et disponible officiellement. Si les bénévoles en charge du projet avaient été prévenus en amont de l’existence de la faille par un chercheur d’Alibaba Cloud, un autre chercheur a décidé de publier sur Twitter une preuve de concept avant que le patch soit déployé pour tous les utilisateurs. Une fois l’utilisation de la vulnérabilité popularisée par les joueurs de Minecraft et reprise par les médias, une course contre la montre s’est enclenchée pour les différents acteurs du secteur qui utilisaient Log4j d’une façon ou d’une autre au sein de leurs produits et logiciels.

Désormais se pose la question suivante : était-ce bien raisonnable de publier une preuve de concept avant qu’un patch soit déployé pour tout le monde ? Une question qui fait débat depuis des années dans le monde de la sécurité et déjà mise sur le devant de la scène en 2016 lorsque Google avait dévoilé publiquement une zero-day présente dans les produits Microsoft, seulement quelques jours après avoir prévenu l’entreprise et sans que celle-ci puisse sortir un patch à temps. À l’époque, les ingénieurs de Google avaient justifié leur décision par le fait que c'était leur règle dans le cas d’une zero-day déjà exploitée. Ce à quoi Microsoft avait répliqué que l’exploitation était minimale et ciblée avant que la faille soit rendue publique et qu'il n'était pas donc pas nécessaire de la dévoiler aux yeux du plus grand nombre.

piratage

Dévoiler une faille avant un patch ne profiterait qu'aux attaquants

Une étude sur le sujet publiée par Kenna Security et soulignée par Alex Haynes donne raison à Microsoft. En mai 2021, Kenna Security et Cyentia Institute se sont alliés pour conduire une étude cherchant à déterminer si dévoiler des vulnérabilités avant qu’un patch soit disponible permettait de développer des correctifs pour ces failles plus rapidement ou si cette façon de faire profitait majoritairement aux attaquants. Cette étude conclut que dévoiler une vulnérabilité avant qu’un patch soit disponible donne aux attaquants environ 98 jours d’avance sur les défenseurs et que ces vulnérabilités sont exploitées 15 fois plus que les autres, ce nombre montant à 30 fois plus si la faille permet de l’exécution de code à distance. Au contraire, peu de preuves ont été trouvées pour soutenir l’argument contraire, disant que dévoiler ces failles pousserait les entreprises à les corriger plus rapidement.

Dans un cas parfait de découverte d’une faille, les chercheurs à l'origine de la trouvaille préviennent l’entreprise qui possède le logiciel ou le site web dans lequel elle est présente, les deux parties se mettent d’accord sur une durée pour la sortie d’un patch et à quel moment il est possible d’en parler publiquement. Généralement, tout cela se fait dans les 90 jours, même si des exceptions sont possibles au cas par cas selon la faille.

Une faille est une « zero-day » quand aucun patch n'existe pour la corriger, car le fournisseur n'a pas connaissance de son existence avant son exploitation ou sa publication. Il a donc « zéro jour » pour la corriger. Les zero-day sont rares et convoitées : il existe tout un marché légal de ventes de ces failles à divers organismes gouvernementaux et militaires. Si un groupe en découvre une et souhaite l’exploiter plutôt que prévenir l’entreprise, cette exploitation est généralement minimale et ciblée pour éviter que la vulnérabilité soit découverte et patchée. Dans ce genre de cas, la faille n'est généralement pas une menace pour le grand public. Dès qu’une faille zero-day devient publique, il y a deux possibilités : soit elle perd de son intérêt puisqu’elle va être patchée, soit elle est facile à exploiter et sévère, comme Log4Shell, et devient par conséquent une menace globale très dangereuse et exploitée massivement par plusieurs groupes très rapidement, avant que toutes les personnes concernées aient pu la combler.

cloud hackeur faille vulnérabilité

Un point de vue à nuancer

C’est pourquoi il est considéré par une partie de la profession que dévoiler une faille publiquement avant la sortie d’un correctif est peu éthique. Mais des exemples récents nous ont montré que des nuances existent sur le sujet et que parfois, des chercheurs décident de rendre des failles publiques pour différentes raisons.

Ces derniers mois par exemple, plusieurs professionnels ont décidé de dévoiler publiquement des vulnérabilités non patchées dans les produits Apple, pour protester contre la politique de l’entreprise sur les bugs bounties et le correctif de vulnérabilités. Certains dénonçaient des paiements bas, d’autres rapportaient être totalement ignorés par l’entreprise ou considéraient que leur découverte n’était pas assez prise au sérieux et tentaient de cette manière de forcer la main de la société pour l’obliger à sortir un patch. Il y a aussi des cas d’entreprises hostiles aux chercheurs qui les approchent et ces derniers peuvent donc décider de rendre leurs découvertes publiques pour les obliger à réagir tout en sachant qu’aucun dialogue n’est possible.

Dans le cas de Log4Shell, la publication d’une preuve de concept avant la sortie d’un patch définitif semble donc tomber dans la catégorie de la divulgation irresponsable, ce que le chercheur a probablement réalisé trop tard en choisissant de supprimer son tweet. Nul doute cependant qu’à chaque fois qu’elle sera soulevée, cette question continuera de diviser la communauté.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
jakadi
si log4j n’avait pas fait autant de bruit, ce serait resté dans un coin, à traiter plus tard après tout le reste. Hein ? Quoi ? Du budget pour la sécurité ? Pourquoi faire ?
max_971
Je trouve qu’il faut dénoncer les vulnérabilités car si un expert l’a trouvé, un pirate peut aussi faire de même. L’expert n’exploitera pas sa découverte mais le pirate oui. C’est à celui qui a réalisé le logiciel à faire en sorte de corriger le tir le plus rapidement possible.<br /> Je crois aussi mais peut-être que je me trompe, ça peut aussi arranger la CIA et toute la clique d’agence d’espionnage. Et si il y avait dans les compilateurs un moyen d’ajouter des codes par ci par là sans que personne ne le voit (à moins de lire du code comme Néo ), c’est super intéressant pour celui qui veut espionner.<br /> Oups, je fais mon Snowden.
yam103
Il existe aussi des cas où le découvreur d’une faille informe la société éditrice, puis aucune nouvelle pendant plusieurs semaines. Il faut que la faille soit divulguée pour qu’ils se décident de publier un correctif, qui devient alors urgent. Il est clair qu’entre temps, des organisations malveillantes peuvent les exploiter.
Space_Boy
Il semble que le bug existe depuis des années sans provoquer ce bordel. J’ai passé tout le mois de Décembre à expliquer à mes clients (des banques) le qui-quoi-comment de ce bug. pfff… pénible. Mais sans cet alerte, on n’aurait rien fait non plus. Faut l’avouer. La pression était tellement grand qu’on a du réagir et patcher et expliquer.<br /> PS: c’est ce qui arrive quand vous embarquez des librairies gratuits de Apache dans vos softs.
Voir tous les messages sur le forum

Lectures liées

Bandai Namco ferme les serveurs PVP de Dark Souls en urgence à cause d'une faille de sécurité critique
Avec son offre à -60%, Bitdefender vous propose le meilleur des antivirus à petit prix !
CyberGhost VPN casse le prix de son abonnement à 1,89€/mois pendant 3 ans !
Un antivirus efficace et pas cher ? Profitez d'un abonnement Bitdefender à -60%
Norton fait les soldes ! En quoi ses antivirus à -60% est une aubaine ?
Crypto.com piraté, des centaines de comptes touchés et plusieurs millions de dollars dans la nature
La Croix-Rouge se fait voler les données de plus de 500 000 personnes hautement vulnérables
Rends l'argent ! Cacophonie et négociations après un vol de 3 millions de dollars en crypto
Norton casse les prix de ses antivirus ! Pourquoi se décider à les installer ?
Pegasus utilisé par la police israélienne pour surveiller les citoyens ?
Haut de page