Le gouvernement devrait-il continuer à stocker les bogues logiciels ?

Les hauts gradés de la communauté du renseignement américain se taisent sur les vulnérabilités logicielles.





Alors que la poussière retombe après l'attaque mondiale de ransomware qui a paralysé les systèmes de plus de 150 pays depuis vendredi, le processus obscur du gouvernement américain pour collecter et divulguer les vulnérabilités logicielles est à nouveau sous surveillance.

Il y a beaucoup de reproches à faire pour l'ampleur et l'efficacité de l'attaque, dans laquelle un virus rançongiciel appelé WannaCry, ainsi que WannaCrypt et Wanna Decryptor, ont exploité une vulnérabilité dans Windows XP. D'une part, Microsoft a cessé de prendre en charge cette version de son système d'exploitation en 2014 , donc toute personne utilisant le logiciel obsolète prenait un risque. (Une fois que Microsoft s'est rendu compte que la vulnérabilité était exploitée, il a rapidement publié un correctif pour le bogue - une étape inhabituelle pour un logiciel aussi ancien.)

Brad Smith, président et conseiller juridique en chef de Microsoft, a déclaré que le gouvernement était également à blâmer, car il semble que les attaquants aient utilisé un exploit volé à la NSA par un groupe appelé Shadow Brokers. Dans un article de blog , il a critiqué la pratique de stockage des vulnérabilités. Nous avons besoin que les gouvernements prennent en compte les dommages causés aux civils par la thésaurisation de ces vulnérabilités et l'utilisation de ces exploits, a-t-il écrit.



Le gouvernement américain a mis en place un système pour peser les risques de divulguer une vulnérabilité logicielle critique ou de la garder secrète. Mais on comprend très peu de choses publiquement sur le fonctionnement du soi-disant Vulnerabilities Equities Process (VEP). Les défenseurs de la vie privée réclament depuis longtemps une plus grande transparence, avec un succès modeste.

On pense que le VEP existe depuis 2010, mais est resté secret jusqu'en 2014, date à laquelle le maison Blanche et Directeur du renseignement national chacun a publié des déclarations niant un Bloomberg rapport que la NSA connaissait et utilisait depuis des années une vulnérabilité répandue dans la façon dont la communication sur Internet est cryptée appelée Heartbleed. Michael Daniel, coordinateur de la cybersécurité du président Obama, a affirmé que l'administration avait mis en place un processus décisionnel discipliné, rigoureux et de haut niveau pour la divulgation des vulnérabilités.

La question de savoir si le gouvernement fédéral devrait ou non ne pas avoir connaissance de ces vulnérabilités peut sembler claire pour certains, Daniel dit à l'époque , mais la réalité est beaucoup plus compliquée. Révéler une vulnérabilité pourrait amener les États-Unis à renoncer à une opportunité de collecter des renseignements cruciaux qui pourraient contrecarrer une attaque terroriste, a-t-il déclaré. Néanmoins, le processus décisionnel du gouvernement était biaisé en faveur d'une divulgation responsable de la vulnérabilité.



En janvier 2016, grâce à un procès en vertu de la loi sur la liberté d'information intenté par l'Electronic Frontier Foundation, le gouvernement a publié une version partiellement expurgée document expliquant le VEP. On ne sait pas exactement comment une décision est prise, qui la prend et combien de vulnérabilités secrètes le gouvernement a en sa possession. Jason Healey , chercheur à l'Université de Columbia et chercheur principal à l'Atlantic Council, a récemment estimé que le nombre est dans les dizaines.

Les événements récents ont soulevé des doutes sur le fait que le système est effectivement biaisé en faveur de la divulgation, comme l'a affirmé Daniel. Dans un document de recherche récent , Healey a conclu, sur la base d'entretiens et de déclarations publiques du gouvernement au sujet du VEP, que la NSA aurait presque certainement dû divulguer les vulnérabilités d'une précédente fuite de Shadow Brokers aux entreprises concernées, notamment Cisco, Juniper et Fortinet. Le FBI aurait également dû informer Apple de la vulnérabilité qu'il a utilisée pour accéder à l'iPhone de l'un des tireurs des attentats terroristes de San Bernardino l'année dernière, a écrit Healey.

Malheureusement, la perspective d'une meilleure transparence - et la responsabilité qui en découlerait - ne semble pas se profiler. Le VEP est contrôlé par la branche exécutive du gouvernement fédéral, sans contrôle public. À moins que l'administration Trump ne décide de changer cela, nous resterons probablement dans le noir. Jusqu'à la prochaine grande cyberattaque, c'est-à-dire.



cacher