armi les trolls récurrents du monde de la sécurité figure en bonne place celui de la remontée de failles. Des discussions à n'en plus finir desquelles aucun consensus n'émerge, à part du côté des éditeurs qui militent assez clairement pour la mise en place d'un cadre qui leur permette de fainéanter à souhait, à savoir qu'on leur remonte tout en toute discrétion et qu'ils décident par la suite quand se bouger le cul. C'est en tout cas leur compréhension du "responsible disclosure", qui s'est précisée plus récemment par "coordinated disclosure".
La remontée de vulnérabilités est donc un immense foutoir, duquel aucune pratique officiellement reconnue ne se dégage, en dehors de celle évoquée précédemment qui concerne les éditeurs de logiciels. Or, face à un arsenal juridique plus que répressif, il pourrait être utile d'offrir une protection aux honnêtes gens face à la mauvaise foi de certains. Mauvaise foi dont l'australien Patrick Webster vient malheureusement de faire les frais...
Après avoir notifié sa caisse de retraite privée d'une faille triviale mais néanmoins majeure sur ses services de consultation en ligne et avoir été remercié pour cela, il a eu l'agréable surprise de voir débarquer la police chez lui dans un premier temps, et dans un second de recevoir une jolie lettre d'un cabinet d'avocat l'informant de possibles poursuites dont, en particulier, lui demander le remboursement des frais liés à la résolution de l'incident, de la coupure de son accès au service et lui demandant de se plier à quelques conditions, dont en particulier autoriser l'accès à son ordinateur aux informaticiens de la société... L'histoire a déjà été pas mal couverte, mais laisse tout de même quelque peu amer...
Le patron de la boîte en question, dans une interview, justifie sa démarche par ce que la réglementation en place et son professionnalisme l'obligerait à agir en ce sens. D'abord pour prévenir les autorités d'une possible compromission et ensuite pour s'assurer que Patrick Webster ne disposerait plus des données récupérées en voulant démontrer la réalité de la faille. Le cœur sur la main pour le bien de ses client. Ceux-là même dont les données personnelles et financières se retrouvaient accessibles à la suite de ce qu'on n'aurait aucun mal à qualifier de double négligence technique au regard de l'état l'art...
Une première négligence dans la conception du service et sa sécurisation, et une seconde dans la conduite des audits récurrents auxquels semble soumise cette honorable société du fait de ses activités. Car si on s'étonne plus de trouver encore ce type de faille, il est par contre bien naturel de se demander comment elle a pu survivre à des audits sérieux réguliers. Audits qui auraient bien été effectués, mais n'auraient malheureusement pas été "aussi efficaces qu'espéré"[1]. C'est le moins qu'on puisse dire...
Cette histoire est un nouvel exemple des risques qu'on prend à remonter une faille à un éditeur ou un opérateur de service. D'ailleurs, il pourrait être intéressant de se demander comment Patrick Webster aurait pu faire sans avoir à se mettre en porte-à-faux. Ou se demander comment un français pourrait réagir dans ce cas. Je pense qu'il pourrait vouloir solliciter la CNIL puisqu'il y a atteinte à des données personnelles, mais cette dernière ne semble pas envisager qu'on puisse la solliciter à ce propos. Il pourrait aussi s'orienter vers un CERT, typiquement le CERT-IST qui semble assez générique et propose un formulaire à cet effet. Et vous, vous en pensez quoi ?
Notes
[1] "it hasn't been as bulletproof as we would have liked", dans le texte...