A la suite de l’attaque dont a été victime Google en janvier 2010, le CERTA, autorité de sécurité en France rattaché au 1er ministre, a émis le 15 janvier 2010 un avis préconisant l’utilisation d’un navigateur alternatif à Internet Explorer. Le 21 janvier, l’éditeur se fendait d’une mise à jour. Il y avait le feu au lac. Mais toutes les failles découvertes font-elles l’objet d’un correctif ? Peut-on communiquer sur une faille de sécurité ? Comment détecter les vulnérabilités attachées aux logiciels utilisées ?
Les failles non corrigées à ce jour
Sur le site Internet du CERTA, vous pourrez accéder à la liste des failles qui n’ont toujours pas fait l’objet de correctifs à ce jour. Elles sont, pour l’essentiel, liées à l’utilisation de logiciels commerciaux. Sur 9 failles recensées, 3 sont liées à l’emploi de logiciels Microsoft. Curieusement, 1 seule vulnérabilité concerne le logiciel libre.
CERTA-2005-ALE-013
CERTA-2005-ALE-016
CERTA-2006-ALE-008
CERTA-2007-ALE-016
CERTA-2007-ALE-011
CERTA-2008-ALE-006
CERTA-2008-ALE-013
CERTA-2009-ALE-017
CERTA-2009-ALE-014
CERTA-2009-ALE-019
CERTA-2009-ALE-022
Publier une faille de sécurité est un délit pénal !
Le 9 septembre 2009, la Cour d’appel de Paris, statuant en référé, a confirmé l’ordonnance de référé du 26 janvier 2009. Dans sa décision, elle a condamné Damien Bancal, qui avait exploité et révélé une faille de sécurité du serveur de la société FLP. Suite à une affaire datant de mars 2006, la Cour de Cassation a rappelé le 27 octobre 2009 la loi qui s’exprime au travers de l’article 323-3-1 du code pénal introduit par la Loi sur l’Economie Numérique du 21 juin 2004 :
“Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.”
Et pourtant !
Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que Microsoft ne communiquait pas systématiquement les failles de sécurité corrigées à l’occasion de mises à jour. Comme le révèle LMI dans son article en date du vendredi 28 mai, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, avouait que les vulnérabilités découvertes en interne étaient qualifiées de simples améliorations de code.
Que faire ?