Depuis une semaine environ, les évènements autour de WannaCrypt ont largement relancé les débats autour de la gestion des failles de sécurité. Selon l’acteur impliqué, les intérêts sont particulièrement divergents. Nous faisons donc le point, alors que des entreprises appellent à une révision profonde du processus de validation aux États-Unis.
Particulièrement virulent, WannaCrypt a fait au moins 200 000 victimes dans le monde. La plupart sont situées en Russie, mais c’est au Royaume-Uni que le ransomware a fait le plus parler de lui, à cause de plusieurs hôpitaux touchés, des opérations ayant dû être reportées à cause d’une informatique en panne.
Au centre de cette menace se trouve une faille de sécurité qui était en possession de la NSA. On s’en souvient, ces informations avaient été dérobées par les Shadow Brokers, des pirates décidés à plomber les capacités d’attaque de l’agence américaine. Les détails de la faille, ainsi que d’autres données, ont été publiés le mois dernier. Microsoft avait corrigé la vulnérabilité en mars, ce qui ne laissait malheureusement pas assez de temps pour que l’intégralité du parc soit mis à jour.
L’exploitation de cette faille a largement relancé les débats autour de leur traitement, et la propension de certains gouvernements à les stocker dans l’attente de pouvoir les exploiter. Missions de renseignement, espionnage, déstabilisation ou sabotage, les brèches de sécurité constituent aujourd’hui un précieux arsenal. Problème, ce stockage n’est pas sans risque.
La validation des failles aux États-Unis
Pour bien comprendre la problématique centrale sur laquelle WannaCrypt braque les projecteurs, il faut savoir qu’aux États-Unis, chaque faille découverte par une agence fédérale est analysée. Il s’agit d’un cheminement particulier, nommé VEP – Vulnerabilities Equities Process– qui permet de séparer le « bon grain de l’ivraie ».
Le bon grain ici, ce sont les failles dont le potentiel de pénétration est important pour la mise en place d’attaques spécifiques. Correctement exploitées, elles peuvent débloquer l’accès à de précieuses ressources. Qu’importe le produit, il suffit qu’il soit suffisamment utilisé ou concerne un équipement utilisé par des cibles intéressantes. Systèmes d’exploitation, logiciels, applications mobiles, routeurs, objets connectés et autres sont tout autant concernés.
De l’autre côté, l’ivraie représente les vulnérabilités dont les agences n’auront pas d’utilité. Les critères sont nombreux à prendre en compte, mais l’un d’entre eux est déterminant : la faille a-t-elle des chances d’être découverte rapidement par d’autres acteurs ? Si tel est le cas, elle perd automatiquement en valeur.
Ce que le VEP doit finalement déterminer, c’est si une brèche doit être transformée en arme ou communiquée à l’éditeur associé pour correction. Or, cet embranchement si particulier est d’autant plus problématique que la NSA a un double visage, passé au second plan ces dernières années, notamment depuis les révélations d’Edward Snowden.
La NSA doit ménager la chèvre et le chou
La mission de la National Security Agency est contenue dans son nom : protéger les États-Unis. Contrairement à ce que pourrait laisser supposer l’actualité des dernières années et nombre de films ou de séries qui abordent cette thématique, la NSA ne fait pas qu’espionner : elle doit assurer la protection du territoire.
Dans son cas, la notion de défense est associée à celle d'attaque. Et c’est ici que les choses se corsent singulièrement. Chaque fois qu’une faille se présente, elle représente à la fois un moyen d’obtenir des informations qui, en retour, pourraient aider à protéger le pays, ainsi qu’une défense générale contre des pirates.
Ce rôle double a été récemment pointé du doigt par Guillaume Poupart, directeur de l’ANSSI, à Libération : « Ce que j’observe, c’est que cela légitime complètement le modèle français, qui a consisté à séparer l’attaque et la défense. Lorsque l’on confie ces deux missions à une même entité, comme c’est le cas aux États-Unis, le conflit d’intérêts est permanent. Et j’ai des doutes sur le niveau d’arbitrage… ».
Les documents dérobés par Edward Snowden à la NSA ont largement accentué les soupçons. Certains montraient ainsi comment l’agence avait volontairement placé des failles dans certains produits ou protocoles. Il est devenu également courant de se détourner des protocoles estampillés NIST (National Institute of Standards and Technology). Des articles du Guardian et du New York Times pointaient vers des relations troubles avec la NSA, qui aurait été autorisée à placer certaines faiblesses dans des générateurs de nombres pseudo-aléatoires, qui sont à la base du chiffrement.
Un contexte particulièrement obscur qui avait même conduit l’Allemagne à faire stopper toutes les importations de produits réseau américains, en attendant de pouvoir contrôler leur fonctionnement.
Les failles, un matériau hautement explosif
Mais quoi que la NSA, ou plus globalement le gouvernement américain, puisse faire pour protéger son stock de failles, le risque ne peut qu’augmenter avec le temps.
La valeur d’une vulnérabilité dépend pour beaucoup du secret qui l’entoure. Il faut donc leur assurer une bonne protection. Cependant, rien ne peut être fait contre une découverte fortuite par un autre groupe, quel qu’il soit. Si le groupe en question maintient lui aussi le secret et prépare une attaque, ils auront entre les mains le vecteur idéal : une faille 0-day, c’est-à-dire révélée publiquement sans que l’éditeur n’ait jamais été mis au courant.
C’est là que l’histoire de WannaCrypt prend toute son ampleur. Puisque le ransomware exploitait une faille dont les détails avaient été dérobés à la NSA, cela signifie que l’agence était au courant depuis un certain temps. Plutôt que de prévenir Microsoft dès le départ, elle a gardé la faille en réserve. La publication des Shadow Brokers a changé la donne, et il est probable que ce soit l’agence qui ait prévenu finalement l’éditeur. Trop tard.
Ce danger est pointé depuis des années par de nombreux experts en sécurité. On se souvient notamment comment Edward Snowden avait accusé la NSA et les gouvernements de « mettre le feu au futur d’Internet », en gardant pour elles des informations cruciales sur la sécurité des protocoles. De telles informations, si elles tombaient entre de « mauvaises » mains, pourraient alors permettre de vastes attaques contre lesquelles il serait difficile de se protéger.
Le VEP désormais remis en cause
Dans un document publié en janvier 2016 par l’EFF (Electronic Frontier Foundation), le VEP est décrit par le gouvernement comme une politique commune pour fluidifier la mécanique de gestion des failles. Une politique qui ne repose en fait sur aucune base juridique, car ses rouages ne sont présents dans aucune loi.
Ce flou a particulièrement fait grincer des dents Microsoft le week-end dernier en pleine crise WannaCrypt. Le directeur juridique de l’entreprise, Brad Smith, tirait ainsi à gros boulets rouges sur le stockage des failles. Car s’il reconnait que les entreprises doivent faire toujours plus de progrès dans la sécurité et que les utilisateurs doivent faire eux aussi quelques efforts, ces travaux restent vains si les principales clés sont dans d’autres mains.
« C’est un modèle qui émerge en 2017. Nous avons vu des failles stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité de la NSA affecte des clients partout dans le monde. Encore une fois, des exploitations de failles entre les mains de gouvernements ont fuité dans le domaine public et causé de vastes dégâts. Un scénario équivalent avec des armes conventionnelles reviendrait à voler à l’armée américaine des missiles Tomahawk ».
Smith insistait également sur un point crucial : le lien « inattendu et troublant entre une action soutenue par un État et le crime organisé ». Selon certains chercheurs en effet, tout porte à croire que le but premier de WannaCrypt était de semer la panique. Qui que soient les auteurs, ils avaient pour remplir leur mission un arsenal d’État, en l’occurrence des failles stockées par les États-Unis.
Une seule solution pour certains : légiférer
En septembre dernier, Mozilla était déjà montée au créneau sur ces sujets. La fondation émettait d’ailleurs une série de recommandations pour améliorer le processus de validation, et toutes allaient dans le sens d’une meilleure transparence.
Plus particulièrement, le père de Firefox réclamait des agendas et limites claires pour le temps d’évaluation, un vrai travail commun de toutes les agences concernées pour un lot précis de critères, une supervision indépendante, un rattachement du secrétariat du VEP au DHS (Department of Homeland Security) et, surtout, une codification de son fonctionnement dans une loi.
Ce point est désormais central. Le 15 mai, Mozilla remettait le couvert et appelait à une réforme profonde du VEP. Le 17, rebelote, cette fois pour indiquer l’envoi d’un courrier au Congrès américain pour soutenir un projet de loi nommé PATCH, pour « Protecting Our Ability to Counter Hacking Act », porté par les sénateurs Cory Gardner, Ron Johnson, Brian Schatz, ainsi que les députés Blake Farenthold et Ted Lieu, formant une coalition républicains/démocrates sur le sujet.
Objectif principal de la loi, codifier justement le fonctionnement du VEP et le rendre plus transparent. Dans sa lettre au Congrès, Mozilla appuie largement le projet, indiquant qu’il couvre justement les cinq grands points souhaités l’automne dernier par l’éditeur. Mais que changerait réellement la loi si elle devait être votée ?
Principalement, l’obligation d’être appliquée. Le fonctionnement du VEP étant flou, personne ne peut être sûr actuellement qu’il est bien utilisé chaque fois qu’une faille se présente. L’EFF, craignant que la faille Heartbleed dans OpenSSL soit exploitée par la NSA, avait déclenché une procédure FOIA (Freedom of Information Act) pour obtenir les rapports correspondants du VEP. Surprise, la fondation avait découvert qu’il était loin d’être systématiquement appliqué et n’avait été mis en place qu’en février 2010. En outre, la Maison Blanche avait nié une telle exploitation.
Rendu obligatoire, un VEP transparent et supervisé par un organe indépendant pourrait donc produire une meilleure protection générale grâce à un signalement plus systématique des failles aux éditeurs. Cela étant, une telle loi ne remettrait pas en cause le fondement même du problème, qui est le stockage potentiel des failles, puisqu’elle valide l’idée qu’elles puissent être mises de côté. Le problème pourrait donc être réduit (en théorie), mais pas complètement résolu.
Les marchés gris et noirs ont de beaux jours devant eux
Tant que les failles ne feront pas toutes l’objet d’un signalement automatique et clair aux éditeurs concernés, elles constitueront autant de menaces. La complexité des projets informatiques tend toujours à laisser des bugs, malgré les contrôles plus ou moins intensifs réalisés. La seule solution est de les corriger au fur et à mesure et de s’assurer que les utilisateurs appliquent les précieux correctifs.
Comme on a pu le voir encore une fois avec WannaCrypt, l’objectif « 100 % de machines à jour » est impossible à remplir, car il existera toujours des utilisateurs qui pourront ou voudront pas installer les mises à jour. C’est cet écart qui peut être exploité. Et tant que des pirates pourront en tirer un bénéfice financier ou que des agences en obtiendront des données, il existera toujours plusieurs marchés, que la Navy par exemple n'hésite pas à exploiter.
Il existe actuellement un statut quo très particulier sur les failles de sécurité. Les éditeurs leur courent après pour les corriger, mais d’autres les exploitent, les collectionnent ou les revendent. S’il existe depuis bien longtemps un marché noir pour de telles transactions, il y a également un marché gris, avec d’authentiques entreprises dont c’est le cœur d’activité. Exemple, Zerodium, qui paye grassement les découvreurs de faille dans des concours dont le premier prix peut grimper jusqu’à 1,5 million de dollars pour une faille dans iOS.
Le cas d’iOS rappelle la lutte acharnée qui a opposé Apple au FBI. Le Bureau, en possession d’un iPhone 5c récupéré après la fusillade meurtrière de San Bernardino, a essayé pendant plusieurs mois d’obtenir d’Apple le moyen de récupérer les données. Problème, le code PIN à six chiffres choisi par l’utilisateur fait partie intégrante de la clé de chiffrement utilisée sur le smartphone.
Menaçant Apple d’un long procès via une plainte, le FBI avait finalement trouvé son salut dans une faille achetée à un groupe de chercheurs. Le prix exact n’est pas connu, mais à cause d’une indiscrétion de James Comey, directeur du FBI (récemment limogé par Donald Trump), on sait qu’il est d’au moins 1,3 million de dollars. Inversion alors des rôles, Apple courant après le Bureau pour obtenir les détails de cette brèche pour la corriger. Ce que le FBI avait refusé.
La situation actuelle et le projet de loi PATCH illustrent bien dans tous les cas les intérêts très divergents qui existent autour des failles. D’un point de vue strictement sécurité, les stocker revient à introduire des portes dérobées dans le chiffrement : d’autres peuvent les trouver et s’en servir, profitant d’une faiblesse généralisée. Le statut quo est peut-être sur le point de basculer, mais la situation ne sera probablement toujours pas idéale après la décantation qui se profile. Si elle se produit.