En réponse à un billet et à quelques commentaires sur le blog de Frédéric AKA FredLynx ICI, je souhaite apporter quelques éclaircissements sur le monde difficile de la sécurité informatique et surtout de la découverte de failles
Certains reconnaitront peut être le titre de ce billet, si c'est le cas, n'hésitez pas à vous manisfester ;-)
Il est important de différencier plusieurs types de hackers dont les deux principales catégories sont :
- Le White Hat, qui ne travaille pas pour son interêt mais plutôt pour protéger vos données circulant sur Internet
- Le Black Hat, dont l'unique objectif est de s'enrichir en exploitant des failles de sécurité qu'il ne rendra pas publique au risque des les voir corrigées.
Les objectifs étant différent, les méthodes de travail sont similaires dans la phase de recherche, identification et exploitation d'une faille, et encore, l'exploitation ne sera pas tout à fait la même puisque l'objectif final n'est pas le même.
Le White Hat :
Le White Hat (ou Ethical hacking), lorsqu'il aura identifié une faille inconnue du public va chercher à l'exploiter dans un but de "Proof of Concept", c'est à dire que le White Hat exploitera la faille afin de démontrer l'existance de la vulnérabilité, il n'exploitera pas la vulnérabilité dans toute sa puissance.
Une fois son proof of concept bien en main et bien maitrisé, le White Hat va imaginer ce qu'il serait possible de faire en utilisant cette vulnérabilité, et va rédiger un advisory à l'attention de l'éditeur du logiciel incriminé. Cet advisory sera conservé par le White Hat afin de le rendre public dans un délai relativement court après avoir prévenu l'éditeur (généralement 1 mois). Le White Hat va rendre public son advisory, non pas pour se la péter sur le net, ou pour satisfaire son égo ou bien encore pour se faire mousser, mais bien pour prévenir l'ensemble des utilisateurs du logiciel, que ce logiciel représente un risque pour l'intégrité, la confidentialité et la disponibilité de leur données.
Les entreprises responsables et sensibilisés disposent généralement d'un RSSI (Responsable Sécurité des SI) qui fait une veille permanente sur les failles publiées concernant les outils utilisés dans leurs entreprises.
Les RSSI seront alors avertis par des médiums courants (sur lesquels le white hat aura publié son advisory : Habituellement les CERTs et web site de White Hat) du risque que représente l'outil pour leur entreprise, charge à eux de faire une analyse du risque et d'évaluer si ce risque est à un niveau acceptable pour la sécurité des SI de leurs entreprises, il prendra alors la décision de voir avec l'éditeur pour obtenir un correctif, ou cherchera un workaround le temps que le correctif soit disponible.
Le White Hat a donc trouvé une faille, prévenu l'éditeur de l'existence d'une vulnérabilité dans son logiciel et prévenu l'ensemble des utilisateurs via des médias spécialisés. Charge à l'éditeur de mettre à disposition un correctif dans les meilleurs délais, et au moins un workaround immédiat; Charge aux RSSI de faire appliquer le workaround et/ou le correctif (A condition qu'il y ai un RSSI ou une personne faisant la veille sécurité)
Or entre le moment ou le White Hat découvre la faille et la publie, un Black Hat peut lui aussi trouver cette même faille, et nous alons voir qu'alors les conséquences peuvent être bien plus grave.
Le Black Hat :
Le Black Hat, lorsqu'il aura identifié une faille inconnue du public, va chercher à l'exploiter dans son interêt (bien souvent financier), il va exploiter la faille dans toute sa puissance afin d'obtenir un maximum de résultat.
Une fois qu'il maitrisera parfaitement l'exploitation de la vulnérabilité, il va l'utiliser partout ou il le pourra, à la recherche de son objectif (politique : voir les blacks hats Turcs très actifs en ce moment, ou financier : vol de carte bleus, ou va se constituer un réseau de zombie qui lui permettra des lancer des attaques de plus grande envergure).
Pendant ce temps, ni l'éditeur, ni les utilisateurs du logiciel, ni les autres black hat ne sont informés de la faille. Ensuite, le Black Hat va porter le coup de grâce en écrivant un programme permettant l'automatisation de l'attaque, c'est à dire qu'il n'y aura pas besoin de compétence spéciale en sécurité pour exploiter la vulnérabilité et gagner un peu d'argent ou faire passer un message politique. Ce programme va se retrouver en vente sur internet sous le nom de 0Day, pour des montant allant de 10000 à 60000 USD selon l'ampleur de l'attaque et des gains espérés.
Les utilisateurs ne sont toujours pas informés de cette vulnérabilité et elle commence a être exploitée à grande échelle. Des entreprises remercient leur RSSI, car leur site web a été piraté, ou bien des données confidentielles se retrouvent dans les mains d'un concurrent.
Enfin lorsque l'attaque aura était suffisament exploitée, ou bien parceque de grande société de sécurité auront acheté le 0Day, la faille sera publiée et l'éditeur prévenu.
Alors ... on fait quoi les White Hat ?
On continue a publier nos failles même si certain pensent que c'est juste pour péter plus haut que notre cul, ou pour nous faire mousser, ou pour emmerder le monde ?
Ou on laisse faire les black Hat plus vite que nous et on laisse pleurer les sociétés qui se sont faites pirater ?
En tout cas je trouve qu'un mois de délai entre l'annonce d'une faille à un éditeur et la publication officielle c'est déjà trop. Pendant ce mois là, des black hats peuvent eux aussi trouver cette faille et en profiter pleinement sans soucis.
Nous avons aussi un autre problème lorsque nous signalons une faille de sécurité à un éditeur, ne nous ayant rien demandé, il est très rare qu'on nous prenne au sérieux, et bien souvent on s'imagine qu'on va rançonner quelque chose.
On nous traite de menteur, de voleur, de mythomane et d'autres noms d'oiseaux, alors qu'au final, qu'est ce qu'on a en a foutre que tel ou tel logiciel soit vulnérable ?
Après tout si les entreprises ayant acheté le logiciel ne s'en sont pas rendues compte et bien qu'elles continuent à se faire pirater dans la joie et la bonne humeur !
Si l'éditeur se retouve avec des procés par des entreprises ayant perdues beaucoup d'argent à cause de leur logiciel, en quoi ça nous touche ?
Et le meilleur dans tout ça c'est que nous les White Hat, lorsque nous publions les failles que nous avons découverte, on ne demande pas un rond, on a notre petit salaire d'administrateur système/réseaux et ça nous suffit (bon OK on a aussi notre égo surdimmensionné).
Cerise sur le gâteau on nous traite de trou du cul zigotos lorsqu'on publie une vulnérabilité, sous prétexte que nous voulons nous faire mousser...
Tant pis ce qu'on pourra dire sur moi, je continuerai à publier mes découvertes, je continuerai à chercher de nouvelles vulnérabilités dans les applications qui me passeront dans les mains, et je continuerai a espérer un poste de RSSI car :