Cédric Blancher revient sur la joute oratoire (épistolaires plus exactement) qui oppose Sophos, le Britannique éditeur d’antivirus et Tavis Ormandy. Un chercheur qui travaille au sein de l’équipe sécurité Google faut-il le rappeler, et qui avait, par le passé, déjà pondu quelques mémorables couplets dénonçant les inconsistances de cet outil de protection. Des inconsistances qui pouvaient constituer un point de faiblesse dangereusement exploitable, un comble pour un outil de sécurité informatique.
Une divulgation de faille qui provoque chez Sophos une réaction plutôt conciliante et qui peut se résumer ainsi : on aime nos clients et faisons tout ce qui est en notre possible pour colmater les défauts de nos produits, on aime Tavis Ormandy car son travail nous aide à colmater les défauts de nos produits… une copie conforme et anonyme (car signée au nom de l’équipe) de la réponse rédigée il y a un an par Graham Clueley à l’occasion de la précédente sortie d’Ormandy.
Remarquons au passage que, parmi les « victimes » des papiers d’Ormandy, certains ne le prennent pas toujours avec autant de bonne volonté. Microsoft, par exemple, a longtemps eu un certain « bug du fichier Help » en travers du compilateur. Sans parler d’autres éditeurs bien plus expéditifs qui dégainent leurs avocats et poursuivent les chercheurs en justice avant même de comprendre ce qui justifiait la publication de ladite recherche.
L’attitude est louable sans doute, mais ce n’est pas franchement assez, estime Cédric Blancher. Si Errare humanum est, perseverare est sacrément diabolicum. Bref, les promesses d’efforts de consolidation sont quasiment restées lettres mortes, ou donnent l’apparence de l’être.
Et « Sid » Blancher, prudent et objectif, de préciser que cette mercuriale visant Sophos ne dédouane pas particulièrement les éditeurs concurrents. Rien ne dit que des problèmes au moins aussi graves n’affectent pas ces logiciels. Depuis près de 10 ans, Thierry Zoller attire également l’attention sur des failles abyssales affectant la quasi-totalité des antivirus et sur la fragilité (voir l’absence totale) de mécanismes de contrôles associés aux outils de mise à jour automatique que l’on rencontre sur bien des programmes. Autant de failles, autant de risques de « botnétisation » d’un réseau de mise à jour provoquées généralement par des contrôles imparfaits de certains fichiers, ou la possibilité d’utiliser certains fichiers pour compromettre l’antivirus lui-même (précisément ce que démontre Ormandy ces jours-ci).
Qu’un antivirus soit faillible et laisse passer des vecteurs d’infection dont la signature n’est pas encore connue, passe (sic) encore. Qu’un antivirus constitue lui-même un point vulnérable dans les défenses périmétriques, cela est moins admissible. Qu’une fois ses concepteurs avertis sur des problèmes de conception ou d’architecture, ce même antivirus présente d’autres défauts encore liés à des problèmes de conception ou d’architecture et la pilule devient franchement amère. Mais qui, à part le microcosme geekesque du monde de la sécurité, se plonge avec attention dans les œuvres complètes de Tavis Ormandy ou de Cédric Blancher ? De quoi relativiser l’importance que l’on donne à la divulgation des failles de sécurité, que cette divulgation soit « full », raisonnable, responsable, collaborative ou sauvage.