La « divulgation responsable » est morte, vive la « divulgation coordonnée des vulnérabilités » (CVD). Un article sur le blog du MSRC, prévient de la publication d’un papier fondateur rédigé par Katie Moussouris (senior security strategist de l’équipe Ecosystem Strategy du MSRC) et co-signé par un aréopage de confrères et gourous de la sécurité travaillant au Mitre, dans divers Certs du monde entier, chez Juniper, Intel, Tenable, Cisco, iDefense-Verisign, Paypal, Veracode… l’on y trouve même des noms de grands « divulgateurs », tel Dino Dail Zovi ou Jeremiah Grossman.
Que raconte ce mémorandum ? Que le CVD remplacera le précédent mode de divulgation. En outre, le mot « responsable » est définitivement banni du vocabulaire Microsoftien. Auparavant, il existait schématiquement deux formes de divulgation : tout d’abord le FD (Full Disclosure, divulgation libre et rapide), débridé et anarchique, qui prône l’accès public à toutes informations concernant une faille dès qu’elle est découverte, sans préséance aucune pour un organisme ou une entreprise en particulier. Venait ensuite le RD, ou Divulgation Responsable, qui garde secrète l’information tant que l’éditeur (et lui seul) n’a pas estimé le niveau de dangerosité du défaut et n’a pas corrigé puis déployé la rustine colmatant le trou découvert. Tout chercheur partisan du FD ou de toute autre politique de révélation est ipso-facto qualifié « d’irresponsable »… autrement dit, au sens étymologique du terme, frappé d’une forme de démence clinique telle qu’il n’est plus responsable de ses propres actes. L’on se demande alors, puisque l’irresponsabilité est invoquée, pour quelle raison les services juridiques sont parfois brandis à l’encontre de certains chercheurs… Les personnes frappées de maladies mentales sont-elles juridiquement responsables dans l’Etat de Washington ? Quand on pratique la Novlangue, il faut savoir en accepter toutes les implications et toutes les contraintes sémantiques …
Outre le fait que cet argument accusant un chercheur de folie rappelle par certains aspects la phraséologie des régimes politiques dictatoriaux, il force tout chercheur en sécurité à se plier aux fourches caudines de l’éditeur, seul responsable auto déclaré à la fois de l’évaluation de la criticité de la faille et du délai de correction nécessaire. « Certains trous sont excessivement difficiles à corriger, et qu’une régression (bug provoqué par le correctif), même si elle ne touche qu’un petit pourcent de la clientèle, peut faire souffrir des milliers de personnes. Notre statut de concepteur du logiciel incriminé fait de nous la seule et unique entité capable d’estimer le temps de correction et le seul organisme habilité à corriger proprement ledit trou de sécurité.».
Tout çà va changer avec le CVD. Désormais, Microsoft n’est plus le seul dépositaire du « secret ». La révélation de la faille pourra s’opérer par tout tiers de confiance, tel qu’un Cert, un Mitre et ses classifications CVE ou un organisme commercial faisant profession d’acheter du trou à partir du moment où celui-ci en communique la teneur en priorité à l’éditeur : le ZDI de HP par exemple. Ce qui interdit semble-t-il toute révélation directement opérée par l’inventeur de la faille.
En outre –et c’est là le point probablement le plus important-, cette charte inclut la possibilité d’une « communication coordonnée » auprès du public dès lors qu’il est prouvé que la faille est activement exploitée. Finie l’omerta du « bug non corrigé » lorsque tombent dru les virus exploitant une faille connue. Enfin, un appel du pied est fait à l’attention des partisans du Full Disclosure. Katie Moussouris écrit « we respectfully disagree, but we still want to work with you ». En d’autres termes, « nos opinions politiques divergent, ce n’est pas une raison pour couper le dialogue ». Le chercheur partisan du FD ou d’une politique de divulgation moins inféodée au bon-vouloir de l’éditeur n’est plus qualifié d’irresponsable, le port de l’entonnoir n’est plus obligatoire dans les allées de la Defcon. Quoiqu’imparfaite soit cette prise de position, elle marque une très nette évolution dans la psychologie « corporate » de Microsoft. Cet effort est d’autant plus louable que lorsque Microsoft prend position, c’est toute la profession qui emboîte le pas. Mais cela suffira-t-il ?
L’un de ces anciens « dangereux irresponsables » récemment classé dans le top ten mondial des inventeurs de failles les plus prolixes, le Luxembourgeois Thierry Zoller, publiait il y a quelques temps déjà sa propre charte de divulgation, précise et surtout argumentée, avec un constat regrettable : lorsque l’initiative de la divulgation est confiée à un éditeur, celui-ci prend systématiquement le parti d’étouffer l’affaire. Et Thierry Zoller de témoigner « From the 800 vulnerability notifications I send in the last 2 years, 3 (!) were published by vendors voluntarily ». A peine 0,4%… En admettant même que Microsoft soit un modèle du genre en matière de réactivité et de négociation –ce que contestent bien des chercheurs- ce chiffre prouve que ce même Microsoft ne peut servir de garantie pour l’ensemble de la profession d’éditeur de logiciels. Une exception ne confirme jamais une règle en matière de sécurité. La politique du « meilleur effort » pratiqué par une poignée de « software companies » et d’équipementiers consciencieux ne doit pas masquer la mauvaise volonté –ou l’incapacité- endémique de 90% du reste de la profession.
C’est précisément cette quasi-certitude de voir ses recherches occultées qui aurait poussé Tavis Ormandy à révéler, début juillet, le bug du protocol Help Center. Un Tavis Ormandy employé de Google, qui enfonce un peu le clou en invoquant l’urgence d’une communication « ouverte et publique » en cas d’exploitation ou de communication « dans la nature ». Car au manifeste CVD de Microsoft, le Response Team de Google réplique avec une toute autre prise de position, en alignant tout son staff sécurité : Michal Zalewski, Chris Evans, Eric Grosse, Matt Moore, Julien Tinnes… des noms très connus, généralement rencontrés sur la mailing list Full Disclosure. Et le « Responsible Disclosure » d’en prendre plein son grade. L’argument « Microsoft sert d’alibi à tous les éditeurs de mauvaise volonté » revient sur le tapis : « Nous avons vu un nombre croissant d’éditeurs invoquer le principe du RD pour retarder indéfiniment la correction de bugs, parfois durant des années. Durant ce laps de temps, ces failles ont souvent été redécouvertes par des chercheurs nettement moins honnêtes, en employant des méthodes et des outils identiques à ceux utilisé par les chercheurs « blancs » » et de préciser peu après « Parallèlement, nous croyons que la Divulgation Responsable est une voie à double sens. Les éditeurs, aussi bien que les chercheurs, doivent agir de manière responsable. Des bugs sérieux doivent être corrigés dans un laps de temps raisonnable »…. Google est un éditeur, et faire preuve d’une attitude trop radicale pourrait se retourner contre ses propres pondeurs de code. « Bien que chaque bug soit unique, l’on peut penser qu’un délai de 60 jours constitue la limite maximale raisonnable pour corriger un problème critique découvert dans un programme largement utilisé ». Deux mois : un délai long, mais au moins une limite précise, et non plus une clause floue laissant à l’éditeur toute latitude d’action… ou d’inaction. Rappelons tout de même que, des dires même de Tavis Ormandy, le délai écoulé entre l’avertissement fait à Microsoft et la divulgation du bug « Help Center » n’a pas dépassé 5 jours. Le moins que l’on puisse dire, c’est que l’attitude d’un Google Security Team donnant des leçons de déontologie à Microsoft relève plus de la provocation que du concours d’élégance de Saint Cloud.
Google marque un point tout de même en insistant sur le fait que Microsoft ne peut, sur ce sujet, parler en son nom propre. Tout ce que dira la Windows Company a été et sera pris comme modèle et comme référence… En se prononçant pour ou contre telle ou telle solution, Microsoft parle, qu’elle le veuille ou non, au nom de toute une profession, et s’engage au nom de tous. C’est la rançon du titre de leader. Par conséquent, toute prise de position tranchée émise à Redmond sera interprétée comme un diktat ou comme une règle-alibi. Ergo, tout ce que pourra décider Microsoft de sa propre initiative sera critiquable, car biaisé par d’évidents conflits d’intérêts. Il y a un peu de vrai là-dedans.
Là ou Google commet une erreur, c’est en se faisant critique sans proposer de solution plus brillante. Car pour quelle raison Google, également éditeur, également juge et partie, aurait « plus raison » que son concurrent direct ? La vérité, si elle existe, doit nécessairement se trouver du côté d’une sorte de « force d’interposition », ne faisant ni partie de l’industrie, ni favorable aux opinions des chercheurs indépendants. Microsoft a failli atteindre un tel but, en proposant il y plusieurs années un « draft IETF » sur le sujet. Draft rapidement retiré du cycle des RFC lorsqu’il a été compris que la situation aurait pu échapper à l’éditeur. C’est pourtant par le truchement d’un organisme neutre que pourrait le mieux se voir défini un calendrier précis des divulgations et des délais de correction maximaux. Jamais la divulgation ne pourra faire l’objet d’une législation internationale au sens stricte du terme… ce qui ne veut pas dire qu’il soit impossible de voir naître un consensus général sous la houlette d’une organisation elle-même internationale.