Divulgation responsable
Divulgation responsable est un terme de sécurité informatique décrivant un modèle de divulgation de vulnérabilité informatique.
La divulgation responsable est semblable à une divulgation complète, avec l'ajout que toutes les parties prenantes acceptent de laisser un délai avant la divulgation pour que la vulnérabilité soit corrigée avant sa divulgation.
Les développeurs de matériel informatique et de logiciels ont souvent besoin de temps et de ressources pour réparer des erreurs découvertes dans leurs produits. En revanche, les hackers grey hat et les spécialistes de la sécurité informatique considèrent qu'il est de leur responsabilité sociale de sensibiliser le public aux vulnérabilités ayant un fort impact, car cacher ces problèmes engendre un sentiment de fausse sécurité. Pour satisfaire les deux parties prenantes, les développeurs et les découvreurs de vulnérabilité échangent des informations et s'entendent sur une période de temps pour réparer la vulnérabilité et prévenir tout dommage futur. Selon l'impact potentiel de la vulnérabilité, le temps prévu pour une solution d'urgence ou une solution de contournement peut varier entre quelques jours et plusieurs mois.
Rémunération pour la découverte de vulnérabilités
La divulgation responsable ne permet pas de satisfaire les chercheurs en sécurité qui s'attendent à être compensés financièrement pour la découverte d'une vulnérabilité, car l'attente d'une compensation lors du signalement d'une vulnérabilité à un fournisseur peut être considérée comme une extorsion. Alors qu'un marché des vulnérabilités s'est développé, la commercialisation des vulnérabilités reste un sujet très sensible et controversé.
Aujourd'hui, les deux principaux acteurs du marché commercial de la vulnérabilité sont iDefense, qui a lancé son programme de Contributeur de vulnérabilité (plus connu sous le nom anglais de Vulnerability contributor program ou VCP) en 2003, et TippingPoint (en), avec son Initiative vulnérabilité Zero day (plus connu sous le nom anglais de Zero-day initiative ou ZDI), commencée en 2005. Ces organisations suivent le processus de divulgation responsable avec les vulnérabilités qu'ils achètent. Entre et , 7,5% des vulnérabilités affectant Microsoft et Apple ont été traitées par les programmes VCP ou ZDI[1].
Facebook, Google, Mozilla et Barracuda Networks sont d'autres entreprises qui récompensent financièrement la divulgation responsable en payant des primes pour les vulnérabilités rapportées[2].
Exemples de divulgation responsable
Voici quelques vulnérabilités de sécurité auxquelles le principe de divulgation responsable a été appliquée et le temps négocié avant la divulgation :
- l'empoisonnement du cache DNS découvert par Dan Kaminsky, 5 mois[3] ;
- la vulnérabilité des cartes Mifare découverte par l'Université Radboud de Nimègue, 6 mois[4] ;
- la vulnérabilité dans la sécurité du métro de Boston découverte par des étudiants du Massachusetts Institute of Technology (voir Massachusetts Bay Transportation Authority v. Anderson (en)), 5 mois[5] ;
- la vulnérabilité de MD5 qui permettait de créer de faux certificats de sécurité au moyen d'attaques de collisions, 1 semaine[6] ;
- la vulnérabilité des cartes-cadeaux de Starbucks à une situation de compétition, 10 jours[7].
Notes et références
- (en) « Paper measuring the prevalence of responsible disclosure and model of the processes of the security ecosystem »
- http://securitywatch.eweek.com/vulnerability_research/facebook_joins_google_mozilla_barracuda_in_paying_bug_bounties.html
- (en) « Dan Kaminsky discovery of DNS cache poisoning »
- (en) « Researchers break the security of the MIFARE Classic cards »
- (en) « MIT students find vulnerability in the Massachusetts subway security »
- (en) « MD5 collision attack that shows how to create false CA certificates »
- (en) « Hacking Starbucks for unlimited coffee »