L’édito de MISC n°93 : Mais dis donc, on n’est quand même pas venus pour beurrer les sandwichs !

Plusieurs événements liés à la sécurité ont pu vous sortir de votre torpeur ensoleillée cet été. Par chance, si vous avez posé vos congés en août, vous ne risquiez pas de couvrir l’écran de votre smartphone de crème solaire.

Une première lecture ayant retenu mon intérêt est la publication d’un billet sur le blog de Quarkslab [1] d’une faille sur microcontrôleur utilisé notamment dans l’industrie automobile. Un détail retient particulièrement l’attention sur ce billet : le parcours du combattant de Quarkslab avant de pouvoir communiquer la faille. La lecture de la timeline à la fin du billet est particulièrement instructive et révélatrice de ce que vivent la plupart des chercheurs s’étant engagés dans une procédure de responsible disclosure en vue de la publication d’une vulnérabilité découverte. Une attitude qui n’encourage malheureusement pas les chercheurs à adopter une démarche responsable. Il est dommage qu’il soit plus simple de vendre une vulnérabilité à un broker contre quelques bitcoins que de publier la faille avec l’accord de l’éditeur après qu’il ait pu développer un correctif.

Mais l’événement qui a fait bruisser tout le petit monde de la sécurité des systèmes d’information cet été est certainement celui de la mésaventure de MalwareTech inculpé à la sortie de l’avion alors qu’il rentrait de la Defcon [2]. MalwareTech s’est retrouvé sous les projecteurs quelques semaines auparavant alors qu’il stoppait presque par hasard la propagation de Wannacry, le malware décrit par les médias comme une apocalypse allant détruire l’ensemble des systèmes d’information de la planète en un week-end. Si l’on se souvient que le vecteur d’infection de ce code malveillant le rendant si dangereux était basé sur ETERNALBLUE, l’outil probablement conçu par la NSA pour compromettre les systèmes d’exploitation Windows, découvrir que MalwareTech était quelques semaines plus tard mis en accusation et interrogé par le FBI pour un obscur code malveillant datant de 2015 [3] est quelque peu ironique.

Passée la franche rigolade de voir le FBI s’attaquer à un geek britannique de 22 ans rémunéré en pizza [4] pour avoir bloqué un ver informatique utilisant un code de la NSA qui n’aurait jamais dû se retrouver dans la nature, on peut s’interroger sur l’impact de ce genre de pratique sur la recherche en sécurité. Si les spécialistes en sécurité doivent s’attendre à ce genre d’intimidation par les services étatiques des pays dont ils passent la frontière, et en tout premier lieu par les États-Unis, la recherche publique et le partage d’informations risquent de ne pas faire long feu. Et, ce que malheureusement ne comprennent pas les tenants d’une approche prohibitive, c’est que brider la recherche ouverte n’a jamais amélioré la sécurité des utilisateurs, mais fait le lit du marché noir.

Cedric Foll / cedric@miscmag.com / @follc

[1] https://blog.quarkslab.com/vulnerabilities-in-high-assurance-boot-of-nxp-imx-microprocessors.html

[2] https://www.wired.com/story/marcus-hutchins-arrest

[3] https://doublepulsar.com/regarding-marcus-hutchins-aka-malwaretech-650c99e96594

[4] http://www.numerama.com/politique/258637-langlais-qui-a-stoppe-wannacrypt-gagne-un-an-de-pizzas-et-10-000-dollars.html