« OMG c’est un bug ! » Méfiez-vous des cloches et des sifflets entourant les divulgations de vulnérabilités

  • FrançaisFrançais


  • Un site Web pour la faille de la puce Apple M1racles M1 découverte par le chercheur indépendant Hector Martin. Certains membres de la communauté des chercheurs en sécurité craignent que la commercialisation excessive des divulgations de vulnérabilités induise le public en erreur quant à leur véritable impact.

    Plus tôt cette semaine, un chercheur en sécurité très respecté a publié de nouveaux détails sur une faille matérielle dans une toute nouvelle puce de processeur fabriquée par Apple. Cela permettrait à deux applications s’exécutant sur le système d’exploitation de communiquer et d’échanger secrètement des données. Il peut être exploité quel que soit le statut de l’utilisateur ou les privilèges du compte. Pire encore, il est intégré à la conception de la puce M1 d’Apple, ce qui signifie qu’il ne peut pas être corrigé ou corrigé sans une nouvelle refonte.

    Oh, et encore une chose: ce n’est pas vraiment une menace pour vous ou votre organisation dans un sens significatif.

    « M1racles » est une véritable faille découverte par le chercheur en sécurité indépendant Hector Martin avec un véritable CVE, et un site Web qu’il a créé pour la divulgation offre tous les détails techniques et les preuves sous-jacents auxquels on peut s’attendre dans une divulgation de vulnérabilité typique. Mais malgré sa description haletante dans l’introduction, une section « Foire aux questions » plus bas indique clairement qu’il ne pense pas que les entreprises, les particuliers ou quiconque devrait vraiment s’en inquiéter.

    M1racles ne peut pas être utilisé pour s’emparer de votre ordinateur ou voler des données, ni être exploité par des langages communs comme Javascript. De plus, cela ne fonctionne que lorsque deux applications malveillantes et non autorisées tentent de communiquer sur votre système d’exploitation, une condition qui indiquerait que vous avez des poissons beaucoup plus gros à fouetter.

    “Vraiment, personne ne va réellement trouver une utilisation néfaste pour cette faille dans des circonstances pratiques”, a écrit Martin dans une section. «En outre, il existe déjà un million de canaux secondaires que vous pouvez utiliser pour la communication inter-processus coopérative et… les canaux cachés sont totalement inutiles à moins que votre système ne soit déjà compromis.»

    Cela peut sembler étrange alors que Martin ait pris le temps de développer une page Web éclatante, de trouver un nom accrocheur et d’enregistrer une démonstration vidéo d’un bug qu’il ne considère pas comme dérangeant, mais cela se rapporte directement à un point plus large qu’il essaie de faire valoir sur la manière dont les divulgations de vulnérabilité sont commercialisées auprès des médias et du public.

    En d’autres termes : « Ce n’est pas parce qu’il a un site Web tape-à-l’œil ou qu’il fait l’actualité que vous devez vous en soucier ».

    “Très souvent, il y a un profond décalage entre l’impact pratique d’une vulnérabilité et la façon dont elle est commercialisée, et le cycle médiatique qui finit par se développer autour d’elle”, a déclaré Martin à SC Media dans une interview. « Parfois, vous obtenez [disclosures] qui sont justes, je vous promets, complètement et totalement inutiles et cela devient ce cycle médiatique géant.

    Divers facteurs peuvent conduire à ce qu’une vulnérabilité à faible impact soit signalée comme une menace immédiate et urgente pour les professionnels de l’informatique et de la sécurité. Les chercheurs peuvent vraiment être en désaccord sur la gravité, ou ils peuvent ne pas avoir le dernier mot sur la façon dont leur travail est commercialisé par leur entreprise. Ils peuvent avoir des préjugés inconscients qui les amènent à gonfler l’importance d’un bogue qu’ils ont trouvé, ou à négliger d’inclure des détails ou un contexte qui servent à minimiser l’impact. Parfois, les journalistes ou les consommateurs ne lisent que les premiers paragraphes et ne parviennent pas à comprendre ou à explorer pleinement les implications de la recherche technique sous-jacente.

    Au-delà de la FAQ, Martin a fait de son mieux pour laisser entendre sur le site Web que ce n’était pas tout à fait la menace que le résumé prétend être : un lien en haut de la page intitulé « Devriez-vous vous inquiéter ? Probablement pas » vous amène directement à la section où l’impact réel de la faille est décrit dans des tons beaucoup plus sobres et moins sensationnalistes. Pourtant, il a noté avec amusement que certains organes de presse avaient en fait couvert M1racles comme une vulnérabilité simple que le public devait connaître – prouvant essentiellement son point de vue sur la façon dont certaines failles sont présentées de manière trompeuse au public.

    Pour être clair, alors qu’il souhaite que les journalistes assimilent pleinement les recherches sur lesquelles ils rapportent et discutent de l’impact avec d’autres chercheurs en dehors de l’organisation de découverte, Martin pense que les chercheurs en sécurité ont l’obligation de décrire honnêtement les vulnérabilités qu’ils trouvent à des publics moins techniques, et pour fournir tout contexte important qui pourrait empêcher FUD – un terme de l’industrie pour “la peur, l’incertitude et le doute”.

    «Je ne sais pas dans quelle mesure c’est délibéré, dans quelle mesure c’est de la négligence, mais la communauté de la sécurité de l’information… fait en fait un très mauvais travail en expliquant ces choses aux profanes, aux médias, aux gens qui vont couvrir cela », a-t-il déclaré. « C’est très, très facile d’exagérer quelque chose ou simplement de négliger de parler des parties qui atténuent le [flaw], et c’était un peu ma pensée »lors de la création du site Web.

    Comment mieux communiquer ou commercialiser les vulnérabilités au public est un sujet de débat fréquent dans la communauté de la sécurité de l’information. En particulier, des pratiques telles que la conception de sites Web personnalisés et de noms accrocheurs pour de nouvelles campagnes ou des failles ne sont pas un phénomène nouveau (des bugs comme Heartbleed obtenaient ce traitement dès 2014), mais les tactiques soulèvent des questions quant à savoir si l’objectif est d’effrayer ou informer avec précision le public.

    D’une part, cela peut aider les chercheurs et les entreprises à se démarquer dans un environnement de rapport de vulnérabilité encombré. D’autre part, il peut également être exploité pour laisser aux lecteurs l’impression que le défaut est plus impactant qu’en réalité.

    « De manière optimiste, nommer et commercialiser une vulnérabilité ou un exploit grave est une bonne chose. Il attire l’attention et permet aux chercheurs de discuter plus facilement [and] cela incite les gens à développer et à installer des correctifs ou à y remédier », a déclaré Brian Donohue, spécialiste principal de la sécurité au sein de la société de renseignement sur les menaces Red Canary, dans un e-mail. “Cependant, les exploits non sérieux du côté de l’auto-promotion du spectre brouillent les pistes en rendant difficile la distinction entre le battage publicitaire et les affaires sérieuses.”

    Donohue a déclaré que les chercheurs individuels et les consortiums de recherche ont souvent un contrôle substantiel sur la façon dont leur travail est encadré ou présenté au public. Lorsque le fournisseur concerné est impliqué dans la divulgation, les choses deviennent plus « compliquées » et la contribution du chercheur peut être perdante pour les autres parties prenantes.

    Alors que les médias et les consommateurs devraient entraîner leur esprit à traiter les divulgations nommées et surcommercialisées avec le même examen minutieux qu’ils apportent à toute autre vulnérabilité signalée, Donohue a déclaré que certains chercheurs et entreprises peuvent être trop proches de leur propre travail d’une manière qui peut colorer leur point de vue.

    « Les chercheurs passent beaucoup de temps à découvrir ces vulnérabilités, à développer des exploits de preuve de concept pour eux et à expliquer comment ils fonctionnent dans les blogs et à leurs collègues. Ils sont également fiers à juste titre de leur travail », a déclaré Donohue. “Tous ces facteurs peuvent créer une sorte d’effet de chambre d’écho où les personnes qui ont découvert l’exploit deviennent biaisées et peuvent perdre de vue la situation dans son ensemble et surestimer l’importance ou la gravité de leur travail.”

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *