La polémique a plus ou moins débuté sur la liste Daily Dave, lorsque Dave Aitel, patron d’Immunity Sec et vendeur d’un redoutable outil de pentesting, signale l’existence d’un article d’Andy Greenberg dans les colonnes de Forbes. Il relate notamment la performance de l’équipe Vupen lors du challenge P0wn20wn. En un temps record, le groupe de Français éparpille façon puzzle les tripes du navigateur Google, mais refuse, au moment de la remise des prix, de fournir la recette de son exploit.
Consternation
Dévoiler les secrets de fabrique est une quasi-tradition lors de ces concours. L’esprit du jeu s’inscrit dans la droite ligne des CTF Defcon ou des courses au cassage de clefs de chiffrement. Des concours généralement remportés par des gourous du code venus soigner leur image de marque ou par des instituts de recherche disposant de réseaux de machines massivement parallèles dressées à détecter des « collisions » aussi hermétiques tortueuses et abstruses que les pensées cachées d’un homme politique en période pré-électorale.
L’histoire aurait pu toutefois s’arrêter là. Un discret « Nous réfléchissons aux modalités liées aux nécessités de remédiation éventuelle de ce genre de vulnérabilité, mais il est encore un peu trop tôt pour en fixer les étapes définitives » aurait noyé le p0ney avec tout au plus quelques remarques acides dans certains blogs de la côte Ouest. Une non-présence au dit concours aurait même été bien plus efficace… ou, en admettant que la participation de Vupen à cette épreuve soit d’une importance marketing certaine, une troisième place ou l’usage d’un exploit moins sensible serait passé comme un courriel au MTA*.
Mais le patron de Vupen, très probablement emporté par l’ivresse de la victoire et la pression des journalistes sur place, manque de diplomatie, et déclare que « même contre un million de dollars nous ne partagerons cette connaissance avec Google/…/ Nous conservons cette découverte pour nos propres clients ». 3pic F4il diplomatique : Vupen n’a fait qu’énoncer très haut ce que ses concurrents pensent tout bas… la discrétion est mère de la porcelaine, dans le business de la cyber-armurerie.
Il n’en faut pas plus pour que le papier de Greenberg fasse réagir l’EFF (Electronic Frontier Foundation). On sait très bien à qui Vupen et les sociétés de ce type vendent leurs exploits, écrivent en substance Marcia Hofmann et Trevor Timm : aux pays membres de l’Otan, dont font partie des pays peu réputés pour leur sens aigu de la démocratie : Russie, Ukraine, Azerbaïdjan, Bello-Russie… et de conclure « tout chercheur en sécurité qui vend un exploit zéro day à ceux qui l’utilise autrement que pour réparer le logiciel incriminé porte la responsabilité de contribuer à un Internet moins sûr pour ses usagers » (any security researcher selling zero-day exploits to those who take advantage of vulnerabilities rather than fixing the software is responsible for making the Internet less secure for users).
Greenberg récidive avec un second papier « faire son marché de ZDE » : tous les tarifs des exploits secrets qu’utilisent les hackers. Un barème que reprennent d’ailleurs nos confrères de ZD Net. La liste de prix en question semble un peu fantaisiste (la valeur de l’exploit Flash dans la vraie vie, par exemple, est située bien en dessous de 100 000$, et encore, s’il est payé) mais ce tableau donne au grand public une information qui, jusqu’à présent, ne dépassait pas les discussions entre gens du milieu : on vend du trou logiciel, et il existe un business de ce qui peut en résulter, à savoir un programme d’espionnage.
Hors, le maquignonnage de la faille avec exploit est un sujet tabou. Tabou car il recouvre une foultitude de cas de conscience.
A commencer par celui soulevé depuis des années par le mouvement « full disclosure », qui milite pour une divulgation publique du défaut en vertu du principe qu’une faille connue est une faille à laquelle on fait attention et que l’on soigne, soit par application d’un correctif, soit par mise en œuvre d’une mesure de contournement. Face à eux, les défenseurs de la sécurité par l’obscurantisme, qui prônent la discrétion : faille inavouée n’est pas à corriger, et coûte donc rien au contribuable. « A condition que les blackhats ne découvrent pas cette faille à leur tour » rétorquent les premiers. La querelle dure depuis quelque 20 ans.
Vient ensuite la question de la rétribution des inventeurs de failles. Une revendication qui date de l’époque des multiples « Month of XXX Bug » et de la campagne « No more free bug » lancée en mars 2009 par trois grands noms de la découverte de faille : Dino Dai Zovi, Charlie Miller et Alex Sotirov. Le message est simple : La découverte d’une faille et de sa méthode d’exploitation (donc de son indice de dangerosité) est le fruit d’un travail important. Nous ne voulons plus travailler « pour la gloire et pour des prunes », les failles devront pouvoir être monnayées, et non pas être le prétexte de la part des éditeurs de menaces de poursuite en justice (rappelons que la loi Française peut être sujette à interprétation lorsque l’inventeur n’est pas un professionnel patenté).
Cette peur de l’avocat a d’ailleurs profité à des organismes pilotés par d’autres éditeurs, notamment le ZDI ( Zero Day Initiative ) qui joue le rôle de tampon entre inventeur et éditeur, et rétribue au passage le chercheur en fonction de l’indice de gravité de sa trouvaille. Dans la foulée, Google, la Mozilla Foundation et quelques autres éditeurs ont accepté de publier des tarifs officiels de rétribution en cas de découverte de faille. Mais la « L33t Prime » de Google, si l’on en juge par l’aventure Vupen, n’est pas assez bien payée pour être incitative.
Mais alors, pourquoi la vivacité de la réaction de l’EFF ?
Parce qu’avec le fil du temps, la liste « Full Disclosure » a vu ses principaux ténors quitter la scène. Certains par peur des représailles des éditeurs, d’autres sans motifs réel. Comment un « couple » comme http-equiv et Liu Die Yu, habitués à publier au minimum une faille exploitable par semaine, a-t-il littéralement disparu du jour au lendemain du paysage de la recherche en sécurité ? Pour certains, la raison se résume en trois lettres. NSA, CIA, FBI… Les fantasmes et les preuves indirectes des opérations de cyber-guerre, notamment les vagues d’intrusion « qui ne sont pas d’origine Chinoise de manière certaine » ont rapidement fait grimper les grilles de salaires dans la fonction publique. L’inventeur de faille ne travaille plus pour un Internet plus sûr et des logiciels plus sains, il œuvre à la défense de son pays. Jusque-là, rien de franchement critiquable, même si la moralité et l’amour de la paix en prennent un coup. Glissons au passage une remarque sur le vieux mythe de la «trappe NSA » contenue dans les sources Unixiens : à l’époque de cette rumeur, les noyaux en service étaient tous bien plus truffés d’imperfection qu’ils ne le sont à l’heure actuelle. Se fabriquer une trappe ne nécessitait aucun développement particulier.
Mais l’histoire récente a prouvé que l’usage de ces cyber-armes ne servait pas seulement à combattre des Etats-Nation en état de se défendre ou des hordes de terroristes. Ce que l’on pourrait appeler le « complexe Amesys » (voir l’ouvrage de notre confrère Jean Marc Manach sur le sujet ) frappe également ces fournisseurs d’exploits. Des outils pour se défendre, certes, mais des outils qui se banalisent et sont employés de plus en plus contre des citoyens « normaux ». L’exploit est à la cyberculture ce que l’écoute téléphonique était aux politiques il n’y a pas si longtemps : une technique de très basse police qui peut viser des journalistes, des acteurs, des syndicalistes… y compris dans des pays qui ne présentent pas les signes extérieurs d’une dictature. Le prétexte du terrorisme favorise les dérives et les actions populistes. Le danger de l’exploit ne réside pas dans sa fabrication mais dans son usage. Il en est de même pour tout autre engin de mort : canon de 155, automobile, couteau de cuisine…
Ce que l’EFF exprime, avec son communiqué, c’est que les vendeurs d’exploits doivent être conscients de leur responsabilité et de l’usage de leurs outils. Ils sont la source, pas coupables mais responsables indirects. Il ne peut y avoir d’amoralité (d’absence de problème moral) en vertu d’une logique d’entreprise : le marchand d’armes a autant de sang sur les mains que celui qui les utilise extrapole l’EFF.
La critique vise d’ailleurs moins Vupen (et concurrents) que les gouvernements clients de ces entreprises de vente d’exploit. Il faudrait que ces armes logicielles ne soient jamais banalisées, qu’elles ne franchissent jamais la frontière d’usage très précise qui sépare d’un côté l’armée (cyber ou non) et les services spéciaux (qui, puisqu’ils sont « spéciaux », utilisent des méthodes hors de tout cadre légal) et les forces régaliennes civiles, la police, la justice, qui se doivent de ne jamais dépasser les limites de la constitution. Aux politiques de ne pas déplacer ces limites ni rendre cette frontière trop élastique. Que les exploits servent à la défense de la nation, utilisés par des espions ou des militaires, passe encore, qu’ils soient utilisés contre les citoyens, à l’intérieur de nos frontières, cela devient insupportable. Un débat houleux qui n’est pas prêt de se calmer.
*NDLC Note de la correctrice : la Commission de la Langue Française s’interroge encore sur cette formulation moderne d’une expression fort ancienne. La quasi disparition des lettres-papier et des bureaux de poste ruraux aidant, certains dires doivent nécessairement évoluer ou périr.