Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Failles chez Kaspersky et FireEye : entre révélations publiques, responsabilité et récompenses

Linge sale
Logiciel 6 min
Failles chez Kaspersky et FireEye : entre révélations publiques, responsabilité et récompenses
Crédits : stokkete/iStock/Thinkstock

Kaspersky et FireEye ont dû faire face durant le week-end à des révélations publiques au sujet de bugs dans leurs logiciels. La société russe a déjà corrigé le tir et FireEye promet une réaction rapide, mais la manière dont les informations ont été publiées relance le débat sur la responsabilité, surtout en plein week-end prolongé aux États-Unis.

Samedi matin, le chercheur en sécurité Tavis Ormandy, de chez Google, publiait un tweet pour annoncer qu’il avait découvert une première exploitation de bug dans les versions 15 et 16 de l’antivirus Kaspersky. Interrogé à ce sujet sur Twitter, il a indiqué peu après que la faille pouvait être exploitée à distance, dans la configuration par défaut et qu’elle ne demandait aucune interaction de la part de l’utilisateur.

L'annonce sur Twitter, puis après seulement le mail pour Kaspersky

Le fait est qu’Ormandy n’a pas publié l’intégralité des détails, mais avec la précision plus tard du caractère spécifique de la faille (dépassement de mémoire tampon), il y avait assez d’informations pour donner de sérieuses pistes de recherche. D’autant que deux points renforçaient le caractère dangereux de l’annonce. D’une part, le chercheur indiquait qu’un patch était nécessaire car modifier les options ne corrigerait pas le tir. D’autre part, le tweet a non seulement été publié au début d’un week-end spécial de trois jours aux États-Unis (fête du Labour Day), mais le chercheur avait en plus ajouté que le mail pour Kaspersky ne partirait qu’après son repas.

Cependant, l’information est très vite remontée jusqu’à la maison-mère de l’éditeur, qui a rapidement réagi. Dès le lendemain, Tavis Ormandy indiquait en effet avoir reçu un message lui confirmant non seulement que le problème avait été corrigé, mais qu’une mise à jour était déployée dans la foulée. Concrètement, toutes les versions actuellement supportées de l’antivirus sont donc corrigées, mais le chercheur a averti hier encore que d’autres failles existaient et que les informations nécessaires avaient cette fois été envoyées directement à Kaspersky.

Le problème de la révélation publique

Il n’y a priori aucun signe que ces failles ont été exploitées, mais la méthode est considérée par certains observateurs comme cavalière. La grande majorité des entreprises tient en effet à ce que les détails des failles ne soient pas publics. La raison en est simple : si la brèche se révèle complexe à colmater, les pirates peuvent profiter du temps offert pour démarrer une campagne. Dans le cas présent, il s’agit en plus d’une « récidive » puisque Tavis Ormandy a l’habitude de révéler des failles de cette manière. En 2013 par exemple, il avait ainsi publié les détails d’une faille affectant Windows, arguant que les services de Microsoft étaient pénibles à contacter.

Curieusement, Ormandy fait partie du Project Zero, une initiative lancée par Google en juillet 2014, avec pour ambition de trouver des failles de sécurité 0-day. Or, le projet est clairement orienté sur la publication « responsable » des informations, c’est-à-dire de manière privée avec l’éditeur ou le développeur concerné. Ce qui n’empêche pas les règles d’avoir été critiquées par Microsoft pour la publication inflexible des détails d’une faille… la veille de la publication du patch. Google avait d’ailleurs fait amende honorable et assoupli son processus pour éviter ce genre de cas.

Ce qui n’a pas empêché l’éditeur, dans un communiqué, de remercier Tavis Ormandy pour son travail. Kaspersky avait à cœur de rappeler que les chercheurs en sécurité faisaient partie d’un cycle, et certaines technologies (notamment l’ASLR et le DEP) permettaient d’atténuer les risques. Ce qui est vrai, mais on rappellera que ces deux technologies, que l’on trouve notamment dans Windows depuis Vista, concernent avant tout les systèmes 64 bits et qu’elles ne sont pas inviolables. Pas un mot en revanche sur la manière dont la faille a été révélée.

FireEye : publier des informations pour provoquer une réaction

Kaspersky n’était par ailleurs pas le seul éditeur concerné ce week-end par des révélations de bugs dans ses produits. Un autre chercheur, Erik Hermansen, a cette fois publié des informations sur quatre failles présentes dans plusieurs produits de FireEye, une société relativement connue et à l’origine de nombreux rapports sur les tendances des attaques informatiques. Cette fois, le ton employé est particulièrement clair : les soucis sont connus depuis 18 mois et rien n'a été fait. Pourquoi ? Parce que la société n'a pas reçu les informations, Hermansen attendant d'être payé pour son travail.

En outre, le chercheur est allé plus loin puisqu’il a publié avec cette annonce un code permettant de créer un proof-of-concept. Pour ajouter à la situation problématique, FireEye était en « week-end prolongé » et n’a répondu que ce matin au problème posé. Dans un communiqué, l’éditeur indique avoir bien été informé de la situation, mais regrette que les détails aient été publiés aux yeux de tous. En outre, la société précise qu’elle dispose bien d’un processus de signalement « documenté » et qu’elle s’est mise en relation avec les chercheurs (Hermansen et Ron Perris).

Plus précisément, la faille abordée par Hermansen touche le produit Endpoint Threat Prevention Platform (surnommée « HX » par l’éditeur). Il s’agit d’une appliance comprenant notamment un serveur web dont le chercheur a trouvé un moyen d’exploiter les accès root, qui malheureusement fonctionne avec de tels droits. Le chercheur n’avait pas manqué de souligner cette situation avec ironie de la part d’un éditeur travaillant sur des solutions de sécurité.

Pas question de travailler gratuitement

Interrogé par Salted Hash hier matin, Hermansen n’a pas confirmé que FireEye avait pris contact avec lui. Cependant, son avis sur la question est particulièrement clair : « Quand ils mettront en place une chasse aux bugs ou des récompenses de sécurité, je leur répondrai. Ils m’ont baladé pendant plus d’un an sur l’implémentation d’un tel programme. Qu’ils l’annoncent d’abord publiquement et je leur parlerai à nouveau. Je suis certain qu’il existe encore de nombreux autres bugs dans leurs produits qui ne sont pas encore révélés ».

La motivation du geste est donc clairement d’ordre financier. Le chercheur a souhaité ainsi communiquer en juillet 2014 avec FireEye, qui lui a répondu que l’infrastructure de communication était alors nouvelle, et que des primes seraient probablement accordées dans le futur. Ce qui n’a manifestement pas été suivi d’actes concrets, au grand dam de Hermansen, qui souhaitait ne pas avoir travaillé à titre de bénévole.

Le fait est que ces programmes de récompenses renvoient parfois un sentiment mitigé sur leur réelle efficacité. Dans le cas présent, la situation aboutit à un proof-of-concept et donc à une faille déjà exploitable alors qu’aucun correctif n’existe. On peut comprendre cependant qu’un chercheur ne soit guère motivé par un travail gratuit, même si d’autres experts, à l’instar de Jeff Williams de chez Contrast Security, estiment que ces programmes ont parfois tendance à se substituer à de vraies pratiques internes pour la recherche de bugs. Dans le cas de Hermansen, on peut également penser à l’éventuel effet salvateur d’un électrochoc apte à débloquer une situation.

En attendant, les failles touchant les produits de FireEye ne sont pas corrigées, mais l’éditeur a promis de gérer rapidement le problème dès que les informations seront réunies.

39 commentaires
Avatar de Tim-timmy INpactien
Avatar de Tim-timmyTim-timmy- 09/09/15 à 08:16:44

ce vieux chantage ... c'est pas pénalement répréhensible son comportement ?

Avatar de HCoverd Abonné
Avatar de HCoverdHCoverd- 09/09/15 à 08:31:01

Je resterait quand même fidèle à ce produit que j'utilise depuis des années.

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 09/09/15 à 08:35:33

Pas très éthique comme comportement.

Avatar de MuadJC INpactien
Avatar de MuadJCMuadJC- 09/09/15 à 08:41:15

Tim-timmy a écrit :

ce vieux chantage ... c'est pas pénalement répréhensible son comportement ?

Obidoub a écrit :

Pas très éthique comme comportement.

Certes.

Mais je travaillerais dans la sécurité, domaine où l'inviolabilité est la meilleure pub, j'investirais dans la détection des failles au lieu de faire la fine bouche... pendant 18 mois.

Avatar de Arnaud3013 Abonné
Avatar de Arnaud3013Arnaud3013- 09/09/15 à 08:41:16

En même temps il veux être payé pour son travail, c'est compréhensible. Il ne va pas faire le boulot de leur équipe de chasse au bug gratos.

Avatar de nlougne INpactien
Avatar de nlougnenlougne- 09/09/15 à 08:42:40

je vois pas le problème, tout travail mérite salaire.

Édité par nlougne le 09/09/2015 à 08:42
Avatar de Tim-timmy INpactien
Avatar de Tim-timmyTim-timmy- 09/09/15 à 08:44:09

l'entreprise ne l'employant pas, et aucun système d'incitation contre finances n'existant pour le moment .. non. Ils ne lui "doivent" pas un rond ... Si il est bête et a travaillé gratos en pensant qu'ils allaient installer ce système c'est sa faute ... Il n'a pas à divulguer les failles car il n'a pas eu de l'argent en échange, ça s'appelle juste du chantage, ça.

Si je trouve une faille sur nxi, et que je leur réclame 5000€ pour mon travail, ou je la révèle, c'est quoi?
 

Édité par Tim-timmy le 09/09/2015 à 08:48
Avatar de Hoper Abonné
Avatar de HoperHoper- 09/09/15 à 08:57:24

A partir du moment ou un exploit est publié, je suis désolé mais l'entreprise à tous les détails techniques dont elle à besoin pour trouver, comprendre et corriger le problème...il suffit de lire le code.

Donc j'avoue que je comprend pas très bien l'article... Il doit y avoir un truc qui m'a échappé quelque part.

Avatar de Arystos INpactien
Avatar de ArystosArystos- 09/09/15 à 09:07:36

L'article est essentiellement basé sur le fait que le chercheur en sécurité ait publié la faille.
 

 D'un côté, c'est logique que le mec veule être payé, il y a passé du temps pour trouver les bugs etc, après ce qu'il fait n'est pas très légal puisqu'effectivement c'est considérable comme du chantage.
 
Si aucune infrastructure de report de bug contres récompense est en place, bah si tu signales un bug tu reçois juste un merci et un BN (s'ils sont gentils). Et je pense qu'il est illégale de faire pression comme ça.

Avatar de Omnisilver INpactien
Avatar de OmnisilverOmnisilver- 09/09/15 à 09:08:58

La grande majorité des entreprises tient en effet à ce que les détails des failles ne soient pas publics. La raison en est simple : si la brèche se révèle complexe à colmater, les pirates peuvent profiter du temps offert pour démarrer une campagne.  
En l'occurence, Hermansen a détecté une faille, a contacté FireEyeet leur a proposé de la leur communiquer moyennant finances. 18 mois plus tard, en l'absence de consensus, il publie la faille.
 

 Effectivement aujourd'hui FireEyeet peut corriger "gratuitement" la faille ... sauf qu'elle est connue de tous et déjà exploitable par des personnes malveillantes, ce qui peut leur coûter en terme d'image vis-à-vis de leurs clients.

Édité par Omnisilver le 09/09/2015 à 09:09
Il n'est plus possible de commenter cette actualité.
Page 1 / 4