l y a deux semaines de cela, Dillon Beresford et Brian Meixell devaient faire une présentation sur des vulnérabilités SCADA à la conférence TakeDown. Mais ce talk intitulé "Chain Reactions, Hacking SCADA" qui devait en particulier démontrer des vulnérabilités sur des équipements Siemens, s'est vu annulé après discussion entre les orateurs, le constructeur et le DHS.
Ce n'est pas la première fois qu'une présentation est annulée sous pression d'un éditeur, de la justice ou d'un organisme gouvernemental. La différence notable cette fois-ci tient dans le fait que les vulnérabilités n'allaient pas être publiées à la sauvage. Elles avaient en effet été remontée à l'éditeur via le CERT qui va bien. Ce qui donne à cette initiative de forts relents d'encouragement à la fainéantise...
L'analyse de Bruce Schneier est très juste. On se croirait revenu à des pratiques qu'on croyait d'un autre temps en matière de divulgation de faille. Des pratiques qui faisaient la part belle à l'immobilisme et la mauvaise foi des éditeurs. Car non content de ne pas avoir pu corriger les failles remontées[1], Siemens profite aujourd'hui de l'absence de publication pour contester la faisabilité des travaux de Meixell et Beresford. Au point qu'on en arrive à se demander pourquoi ce talk a été annulé s'il ne présentait que des failles sans conséquence inexploitables dans la vraie vie...
Ce qui pose la question des conséquences de ce genre de compromis, décidés, paraît-il, pour le bien de tous. Car si on comprend bien la nécessité d'avoir une démarche responsable en matière de divulgation de faille, il ne faudrait pas oublier que la responsabilité est partagée entre les deux parties, celui qui découvre la faille et celui qui doit la corriger. Et si on entend souvient parler des obligations du premier, le second est bien moins souvent pointé du doigt lorsqu'il manque aux siennes. Et dans cette perspective, le Full Disclosure se révèle souvent bien plus responsable, du point de vue du bien commun, qu'un éditeur qui se défile...
Car de manière générale, il me semble que la publication complète reste plus profitable que la publication partielle. Car même si elle permet à certains de créer des attaques en conséquence, elle permet néanmoins à d'autres de tirer des conclusions factuelles et diffuser de l'information quant à d'éventuelles mesures de protection. En outre, l'expérience tend à montrer que même en cas de diffusion partielle, les premiers ne mettent pas très longtemps à retrouver ce qui leur manque. Pendant que les seconds n'auront pas vraiment autre chose à se mettre sous la dent qu'un malware capturé pour comprendre de quoi il retourne exactement...
D'ailleurs, l'actualité récente vient alimenter mon moulin en nous fournissant une excellente illustration de ce que peut donner ce genre de situation avec la compromission de Lockheed Martin. En effet, si on en croit les premiers éléments publiés depuis, cet incident serait la conséquence des données volées chez RSA en mars dernier. Intrusion particulièrement médiatisée pour laquelle on se plaignait, justement, du cruel manque d'information technique publiée.
Là encore, on nous expliquait que tout allait bien, que si l'efficacité du produit se trouvait réduite par la fuite, il restait efficace, et que quoi qu'il en soit, la société allait tout mettre en œuvre pour que ses clients retrouvent le niveau de sécurité qu'ils étaient en d'attendre. Sans pour autant expliquer de quoi il retournait, laissant la plupart des observateurs à des déductions et des conclusions plus ou moins informées. Manifestement, toute la bonne volonté de RSA en la matière n'a pas trouvé son chemin jusqu'aux systèmes de Lockheed Martin, mais également de quelques autres sous-traitants de l'armée américaine...
La réflexion que m'inspire ces évènements est combien la divulgation partielle d'information sur les failles peut se montrer contre-productive. Précisément parce ce qu'elle encourage l'irresponsabilité des éditeurs. Et ce d'autant plus qu'elle trouveront chez les autorités une oreille complaisante pour les conforter dans ce genre de comportements. Et tant que ces autorités ne se seront pas impliquées pour rééquilibrer la balance, il y aura toujours une place pour la diffusion sauvage et complète. Car tant décriée qu'elle soit, elle n'en reste pas moins un moindre mal face à ces cas de figure qui, après s'être fait progressivement de plus en plus rares, commencent à réapparaître avec une fréquence inquiétante.
Tout ceci devrait également amener beaucoup à considérer l'interdépendance entre différents acteurs dans la mise en œuvre d'un système, et les responsabilités que cela implique pour maintenir son niveau de sécurité. En matière de gestion d'incidents, de vulnérabilités et de fourniture des informations conséquentes par exemple. Et en particulier à s'interroger sur les raisons qui ont fait que ce que d'aucuns s'emploient à qualifier de petits riens se transforment en énormes échecs. Ce qui fait qu'une pauvre faille Flash conduit à la possible compromission d'infrastructures de défense...
Notes
[1] Mais c'est promis, ce sera fait...