Il y a longtemps, très longtemps
Il y avait un bon hacker
Qui offrait ses bugs éclatants
Sans avoir…
Sans avoir…
Sans avoir l’air
Ses bugs étaient de qualité
Tous des CVE notables
Et tous ses PoC en vérité
Bien exploitables
Un éditeur vint à passer
Qui collectait ces pacotilles
Avec son avocat flanqué
D’un code si
D’un code si
D’un code civil
Et comme il était de surcroît
Pingre comme un atomiseur
Il prit les bugs et planta lÃ
Notre chercheur
Lequel à ce moment précis
Avait le nez dedans son hard
Ce qui fait qu’il n’y prit
Pas du tout
Pas du tout
Pas du tout garde
L’éditeur obtint alors
Le prix du meilleur « response team »
Et le chasseur mourut de faim
Sans un centime
Et tout s’étant ainsi passé
Suivant la plus saine logique
Sans le concours d’aucune fée
Aux dons magiques
Les clients se crurent protégés
Et périrent tous d’une infection
C’est ainsi qu’il faut raconter
Des plus grands chercheurs les batailles
Si vous voulez éviter
Qu’ils trouvent encore des failles
(d’après Jacques Faizan)
Tout ceci pour traduire le désespoir des chasseurs de bugs. « No more free bugs » manifestaient, durant la dernière CanSecWest, un groupe de trois chasseurs de failles réputés : Dino Dail Zovi, Charlie Miller (interviewé à ce propos par le non moins célèbre Ryan Naraine pour le compte de ZD Net ) et Alexander Sotirov dont les derniers échanges avec Verisign ressemblent plus à une guerre larvée qu’à un échange entre adultes travaillant de concert sur un problème de sécurité.
No more free bug en vertu d’un raisonnement relativement logique : avec la professionnalisation de la conception et édition des « crimewares », la chasse aux bugs est devenue non seulement une nécessité vitale, mais également un signe extérieur de « valeur ajoutée » de la part des éditeurs et équipementiers. La faille possède une valeur commerciale aisément estimable… si ce n’était le cas, certaines sociétés éditrices ne verseraient pas déjà une « prime au bug », et les grands acheteurs de failles –les ZDI et iDefense- ne récompenseraient personne. Car derrière chaque trou de sécurité acheté, c’est un programme de défense périmétrique qui prend de l’avance sur ses concurrents, c’est un industriel du logiciel qui économise des heures de recherche dans le déverminage de ses productions. Et ceci sans parler des risques que prennent chaque jour les chercheurs, qui, en guise de remerciement pour leurs travaux, se font parfois traîner devant les tribunaux et traiter plus bas que criminel. Toute peine méritant salaire, conclut donc Dai Zovi, chaque vulnérabilité affectant un programme commercial sera donc elle aussi commercialisée. Ou plus exactement cédée à son « propriétaire » contre rétribution. Après tout, il existe bien un marché parallèle, légal, qui rétribue parfois grassement certaines découvertes. Les agences de renseignement gouvernementales ou non, les services de police sont les premiers intéressés. Et c’est sans parler des filières plus ou moins grises qui alimentent les spécialistes du « marketing direct » et autres flibustiers du spam.
Il ne s’agit pas, insiste ce « chef des dissidents », de se lancer dans une campagne de chantage ou de remettre en question les principes tacites de la « divulgation raisonnée ».
Des propos, des revendications qui n’ont rien de nouveau. Quelles sont les chances de succès d’une telle initiative ? Assez faibles, admettons-le. Car pour devenir effective, une telle politique devrait être supportée par un mouvement corporatiste parlant d’une seule voix et offrant des procédures d’achat et d’information quasi normées. De telles places de marché commencent à exister, mais du côté des éditeurs de malwares. Chez les White Hats, l’idée même d’une sorte de syndicat professionnel est impensable. Surtout Outre-Atlantique où l’on voit le spectre du communisme primaire se glisser derrière chaque initiative communautaire.
Mais cette action, toute symbolique qu’elle soit, va peut-être faire bouger les choses. En dissuadant notamment quelques inconditionnels de la procédure judiciaire (Adobe, Cisco, Oracle, certaines régies de transport notamment) à réfréner le zèle de leurs meutes d’avocats. En achevant de convaincre d’autres –tout le monde pense à Microsoft, naturellement- d’officialiser cet état de fait.