| Russ Cooper (NTBugtraq) : " "Les éditeurs devraient davantage assumer la responsabilité de leurs failles"" Par le JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/itws/011116_it_ntbugtraq_cooper.shtml
Dans notre précédent article "Microsoft veut cadrer l'information en matière de sécurité logicielle", les objectifs de l'organisation que monte le géant du logiciel avec des sociétés expertes dans la sécurité étaient sujets à caution. Qu'elle ait des implications géostratégiques ou non, qu'elle représente simplement un calcul adroit de l'éditeur de Windows, l'initiative a quand même eu le mérite de raviver une vraie polémique parmi les nombreux experts du sujet. Quelques jours après l'annonce jeudi dernier, des groupes renommés comme l0pht ont annoncé leur adhésion. Mais les objectifs de Microsoft sont restés obscurs, l'éditeur ayant reporté le détail de l'annonce officielle à plus tard. Les informations, qui ont filtré depuis, ne font plus état d'une suppression pure et simple des alertes sur les failles de sécurité, mais d'un délai de 30 jours et d'une série de restrictions sur le contenu. Nous avons pu recueillir après coup la réaction de Marc Blanchard, directeur des laboratoires européens de l'éditeur d'antivirus Trend Micro. Selon lui, "il faut que les failles de sécurité soient connues, sinon l'éditeur ne bouge jamais. Mais la faute repose sur le fait que le code soit publié. Les créateurs de virus savent très bien faire du copier/coller. C'est pourquoi publier le code d'un virus ne se fait pas. Ne pas dépasser la barre existe depuis longtemps chez les éditeurs d'antivirus." Pour enrichir le débat sur les enjeux de la diffusion des failles de sécurité, et éclairer les motivations de Microsoft, nous nous sommes tournés vers l'un des plus éminents spécialistes de la sécurité de Windows. Russ Cooper est l'éditeur de la mailing list NTBugtraq que la quasi-totalité des experts reconnaissent comme la référence en matière de sécurité des produits Microsoft. Le même jour que ce dernier, ce spécialiste canadien sortait de son chapeau sa proposition concurrente. Une initiative qui, à l'inverse de celle de l'éditeur, ne date pas d'aujourd'hui... Propos recueillis par François Morel le 16/11/2001 |
|
JDNet Solutions : des articles américains font état du fait que vous avez refusé de participer à la conférence "sécurité" de Microsoft parce que vous ne leur faisiez pas confiance. Est-ce vrai ? Russ Cooper : Je n'ai jamais dit que je n'avais pas confiance en Microsoft et en ses intentions. Ce programme est clairement une opportunité de revenir sur un sujet important, mais c'est uniquement l'annonce d'un éditeur. Il faudrait que toutes les sociétés spécialisées dans la sécurité décident en même temps d'adresser les problèmes qui nécessitent d'être traités. Maintenant, si vous allez faire un tour sur mon site web, j'ai élaboré une politique déjà en ligne depuis 1999. Ce texte décrit comment rapporter les vulnérabilités, et quels doivent être les processus de divulgation de l'information. Selon vous, l'organisation que veut monter Microsoft a-t-elle pour but de supprimer toute l'information sur les failles de sécurité dans leurs produits ? Microsoft est l'éditeur le plus important sur le marché. Ses offres sont très concurrentielles. Mais ses produits n'ont pas toujours bonne réputation, ce qui lui pose un vrai problème. L'an dernier, ils ont mis en place un programme qui visait à faciliter les discussions autour des failles dans leurs logiciels. A présent, ils ont décidé qu'il fallait déposer une RFC sans que cela ne leur coûte quoi que ce soit. Cela rejoint aussi leur programme STPP (Strategic Technology Protection Program) qui représente une opération marketing plutôt qu'un réel effort dans le domaine de la sécurité. Maintenant, Microsoft ne cherche pas à empêcher toute information sur les failles dans ses produits. Je leur avais moi-même rapporté l'une des pires vulnérabilités qu'ait connu Windows 2000. Et je pensais alors qu'il ne fallait pas la publier, et qu'il ne fallait rien dire à son sujet. C'est Microsoft qui a répondu "nous nous devons de publier cette information", et il l'ont publiée. Ils ne sont pas un acteur qui veut stopper toute l'information, mais seulement empêcher la divulgation du code source ou des détails des exploits. Objectivement, quels sont vos points de désaccord avec leur nouvelle organisation ? Concrètement, je ne suis pas en désaccord avec cette organisation. Mais il faut aussi voir quelle est la part de responsabilité de Microsoft dans les failles de ses propres produits. Lorsqu'ils décident de permettre l'envoi d'e-mails au format HTML avec la possibilité d'inclure du code en langage de script, c'est un vrai problème. Ils en ont décidé pour des raisons fonctionnelles, et ils ont du procéder à trois révisions majeures après cela. Or, Microsoft prend la responsabilité de faire la promotion de cette fonction, mais pour être sécurisé l'utilisateur doit la couper manuellement. Beaucoup de fonctions inutiles donnent souvent accès aux systèmes internes de l'entreprise. Et si celle-ci veut stopper les e-mails à risque au niveau de sa passerelle de messagerie, elle perd des messages importants qui sont souvent envoyés par des clients. En même temps, aussi, Microsoft a décidé de retirer la machine virtuelle Java de Windows XP, mais il n'existe qu'un nombre très réduit d'exploits liés à Java. Les composants n'ont pas été retirés pour des raisons de sécurité ou à la demande de leurs clients, mais tout simplement à cause de leur différend avec Sun. Quelle responsabilité les éditeurs endossent-ils pour les failles dans leurs produits ? Aucune. Ils rejettent en général la faute sur les personnes qui les exploitent. Les éditeurs devraient davantage assumer la responsabilité de leurs failles. Actuellement, il faut éduquer les utilisateurs sur les risques qu'ils encourent. Le seul discours des éditeurs consiste à dire que des correctifs sont disponibles, mais c'est du "bla bla bla". Les vers comme Nimda et Code Red ont utilisé des failles pour lesquelles les correctifs étaient disponibles depuis plusieurs mois au moins. Dans l'industrie des biens de consommation, si une telle chose arrivait, le constructeur serait obligé de procéder au rappel des machines. Le fait de monter une initiative quelle qu'elle soit pour ne pas publier le code source des failles de sécurité n'aura-t-il pas des répercussions sur le travail des responsables de sécurité dans les entreprises ? Dans le cas de l'Open Source, ils ont effectivement besoin du code source pour pouvoir corriger leurs applications, mais pas dans le cas de Microsoft. En revanche, ils peuvent modifier leur configuration en effectuant quelques changements, et il est important de leur dire quelles sont les options à leur disposition. Sinon, un responsable de sécurité n'a aucune raison de tenter de pénétrer son propre système. Son rôle est de limiter les risques. Où en êtes-vous de votre propre initiative ? J'essaie de finaliser ma charte en élaborant un vrai code de conduite. Mon objectif est de créer un groupe très vaste qui serait principalement tourné vers des discussions au sujet des failles et publierait des conseils avec une information consistente mais non exploitable par des hackers. Ce ne sont pas seulement les sociétés de sécurité, mais aussi tout le public qui doit comprendre la gestion des risques. Nous voulons aider les éditeurs à vendre des logiciels plus sécurisés. Et vis-à-vis du public, les médias ont aussi un grand rôle. Autrement, je n'ai reçu de support officiel ni de Microsoft, ni d'aucun autre éditeur (ce qui est logique) avant que la charte ne soit prête. Je ne souhaite pas rééditer la farce de la semaine dernière, où des sociétés se sont portées volontaires pour rejoindre l'initiative de Microsoft sans en connaître les détails. Nous espérons obtenir davantage de support, car la pratique est déjà réelle au sein de la communauté d'experts. Mais cela prendra peut-être encore deux ans avant que nous ayions résolu tous les problèmes. Avec plus de 23 ans d'expérience de l'industrie informatique, Russ Cooper intervient pour le compte de la société TruSecure en tant que "chirurgien en chef" des systèmes d'informations. Fondateur et modérateur de la mailing list NTBugtraq en 1997, il l'a développée au point de devenir la référence des lettres d'informations spécialisées dans la sécurité des systèmes Windows NT, 2000 et XP, avec plus de 30 000 abonnés dont un grand nombre d'experts. Il participe aussi régulièrement avec Microsoft à la revue de détail de la conception de ses produits, et teste toutes les versions Alpha, Bêta et les Service Packs. Enfin, il est également éditeur technique et préface de nombreux livres traitant de la sécurité de Windows. |