Failles chez Kaspersky et FireEye : entre révélations publiques, responsabilité et récompenses

Kaspersky et FireEye ont dû faire face durant le week-end à des révélations publiques au sujet de bugs dans leurs logiciels. La société russe a déjà corrigé le tir et FireEye promet une réaction rapide, mais la manière dont les informations ont été publiées relance le débat sur la responsabilité, surtout en plein week-end prolongé aux États-Unis.

Samedi matin, le chercheur en sécurité Tavis Ormandy, de chez Google, publiait un tweet pour annoncer qu’il avait découvert une première exploitation de bug dans les versions 15 et 16 de l’antivirus Kaspersky. Interrogé à ce sujet sur Twitter, il a indiqué peu après que la faille pouvait être exploitée à distance, dans la configuration par défaut et qu’elle ne demandait aucune interaction de la part de l’utilisateur.

L'annonce sur Twitter, puis après seulement le mail pour Kaspersky

Le fait est qu’Ormandy n’a pas publié l’intégralité des détails, mais avec la précision plus tard du caractère spécifique de la faille (dépassement de mémoire tampon), il y avait assez d’informations pour donner de sérieuses pistes de recherche. D’autant que deux points renforçaient le caractère dangereux de l’annonce. D’une part, le chercheur indiquait qu’un patch était nécessaire car modifier les options ne corrigerait pas le tir. D’autre part, le tweet a non seulement été publié au début d’un week-end spécial de trois jours aux États-Unis (fête du Labour Day), mais le chercheur avait en plus ajouté que le mail pour Kaspersky ne partirait qu’après son repas.

Okay, first Kaspersky exploit finished, works great on 15 and 16. Will mail report after dinner. /cc @ryanaraine pic.twitter.com/IpifiWpoEU

— Tavis Ormandy (@taviso) 5 Septembre 2015

Cependant, l’information est très vite remontée jusqu’à la maison-mère de l’éditeur, qui a rapidement réagi. Dès le lendemain, Tavis Ormandy indiquait en effet avoir reçu un message lui confirmant non seulement que le problème avait été corrigé, mais qu’une mise à jour était déployée dans la foulée. Concrètement, toutes les versions actuellement supportées de l’antivirus sont donc corrigées, mais le chercheur a averti hier encore que d’autres failles existaient et que les informations nécessaires avaient cette fois été envoyées directement à Kaspersky.

Le problème de la révélation publique

Il n’y a priori aucun signe que ces failles ont été exploitées, mais la méthode est considérée par certains observateurs comme cavalière. La grande majorité des entreprises tient en effet à ce que les détails des failles ne soient pas publics. La raison en est simple : si la brèche se révèle complexe à colmater, les pirates peuvent profiter du temps offert pour démarrer une campagne. Dans le cas présent, il s’agit en plus d’une « récidive » puisque Tavis Ormandy a l’habitude de révéler des failles de cette manière. En 2013 par exemple, il avait ainsi publié les détails d’une faille affectant Windows, arguant que les services de Microsoft étaient pénibles à contacter.

Curieusement, Ormandy fait partie du Project Zero, une initiative lancée par Google en juillet 2014, avec pour ambition de trouver des failles de sécurité 0-day. Or, le projet est clairement orienté sur la publication « responsable » des informations, c’est-à-dire de manière privée avec l’éditeur ou le développeur concerné. Ce qui n’empêche pas les règles d’avoir été critiquées par Microsoft pour la publication inflexible des détails d’une faille… la veille de la publication du patch. Google avait d’ailleurs fait amende honorable et assoupli son processus pour éviter ce genre de cas.

Ce qui n’a pas empêché l’éditeur, dans un communiqué, de remercier Tavis Ormandy pour son travail. Kaspersky avait à cœur de rappeler que les chercheurs en sécurité faisaient partie d’un cycle, et certaines technologies (notamment l’ASLR et le DEP) permettaient d’atténuer les risques. Ce qui est vrai, mais on rappellera que ces deux technologies, que l’on trouve notamment dans Windows depuis Vista, concernent avant tout les systèmes 64 bits et qu’elles ne sont pas inviolables. Pas un mot en revanche sur la manière dont la faille a été révélée.

FireEye : publier des informations pour provoquer une réaction

Kaspersky n’était par ailleurs pas le seul éditeur concerné ce week-end par des révélations de bugs dans ses produits. Un autre chercheur, Erik Hermansen, a cette fois publié des informations sur quatre failles présentes dans plusieurs produits de FireEye, une société relativement connue et à l’origine de nombreux rapports sur les tendances des attaques informatiques. Cette fois, le ton employé est particulièrement clair : les soucis sont connus depuis 18 mois et rien n'a été fait. Pourquoi ? Parce que la société n'a pas reçu les informations, Hermansen attendant d'être payé pour son travail.

En outre, le chercheur est allé plus loin puisqu’il a publié avec cette annonce un code permettant de créer un proof-of-concept. Pour ajouter à la situation problématique, FireEye était en « week-end prolongé » et n’a répondu que ce matin au problème posé. Dans un communiqué, l’éditeur indique avoir bien été informé de la situation, mais regrette que les détails aient été publiés aux yeux de tous. En outre, la société précise qu’elle dispose bien d’un processus de signalement « documenté » et qu’elle s’est mise en relation avec les chercheurs (Hermansen et Ron Perris).

Plus précisément, la faille abordée par Hermansen touche le produit Endpoint Threat Prevention Platform (surnommée « HX » par l’éditeur). Il s’agit d’une appliance comprenant notamment un serveur web dont le chercheur a trouvé un moyen d’exploiter les accès root, qui malheureusement fonctionne avec de tels droits. Le chercheur n’avait pas manqué de souligner cette situation avec ironie de la part d’un éditeur travaillant sur des solutions de sécurité.

Pas question de travailler gratuitement

Interrogé par Salted Hash hier matin, Hermansen n’a pas confirmé que FireEye avait pris contact avec lui. Cependant, son avis sur la question est particulièrement clair : « Quand ils mettront en place une chasse aux bugs ou des récompenses de sécurité, je leur répondrai. Ils m’ont baladé pendant plus d’un an sur l’implémentation d’un tel programme. Qu’ils l’annoncent d’abord publiquement et je leur parlerai à nouveau. Je suis certain qu’il existe encore de nombreux autres bugs dans leurs produits qui ne sont pas encore révélés ».

La motivation du geste est donc clairement d’ordre financier. Le chercheur a souhaité ainsi communiquer en juillet 2014 avec FireEye, qui lui a répondu que l’infrastructure de communication était alors nouvelle, et que des primes seraient probablement accordées dans le futur. Ce qui n’a manifestement pas été suivi d’actes concrets, au grand dam de Hermansen, qui souhaitait ne pas avoir travaillé à titre de bénévole.

Le fait est que ces programmes de récompenses renvoient parfois un sentiment mitigé sur leur réelle efficacité. Dans le cas présent, la situation aboutit à un proof-of-concept et donc à une faille déjà exploitable alors qu’aucun correctif n’existe. On peut comprendre cependant qu’un chercheur ne soit guère motivé par un travail gratuit, même si d’autres experts, à l’instar de Jeff Williams de chez Contrast Security, estiment que ces programmes ont parfois tendance à se substituer à de vraies pratiques internes pour la recherche de bugs. Dans le cas de Hermansen, on peut également penser à l’éventuel effet salvateur d’un électrochoc apte à débloquer une situation.

En attendant, les failles touchant les produits de FireEye ne sont pas corrigées, mais l’éditeur a promis de gérer rapidement le problème dès que les informations seront réunies.