Une confrontation avec les chercheurs peut émerger alors que GitHub adopte des politiques plus strictes

  • Français


  • Le PDG de GitHub, Nat Friedman, s’exprime à GitHub Universe 2020. GitHub a sollicité jeudi les commentaires de la communauté de recherche en sécurité sur ses nouvelles politiques apparemment plus strictes pour la publication de logiciels malveillants et d’exploits de preuve de concept. (GitHub)

    Jeudi, GitHub a sollicité les commentaires de la communauté de recherche en sécurité sur ses nouvelles politiques apparemment plus strictes pour la publication de logiciels malveillants et d’exploits de preuve de concept. Mais la réponse a peut-être été plus que ce qu’elle avait prévu.

    Certains des changements remontent à il y a un mois lorsque GitHub, qui appartient à Microsoft, a supprimé un exploit de preuve de concept pour les vulnérabilités dites ProxyLogOn dans Microsoft Exchange qui ont conduit à plus de 100000 infections de serveurs. Il y a également eu d’autres incidents remontant à plus d’un an au cours desquels les référentiels GitHub se sont avérés infectés par des logiciels malveillants et susceptibles d’être exploités dans le cadre d’une attaque de la chaîne d’approvisionnement.

    GitHub, que les chercheurs utilisent comme plate-forme où ils peuvent tester et expérimenter, a déclaré dans un article de blog que ces mises à jour visent également à supprimer l’ambiguïté dans la manière dont la plate-forme définira des termes tels que «exploiter», «malware» et «livraison» – l’effort de la plateforme pour énoncer clairement ses attentes et ses intentions.

    Les chercheurs en sécurité ont exprimé leur scepticisme, arguant que si ou quand un logiciel est supprimé, GitHub devrait exposer une raison très claire et transparente; Sinon, les utilisateurs se rebelleront probablement et fuiront vers d’autres plates-formes, a déclaré Sean Nikkel, analyste principal des cyber-menaces chez Digital Shadows.

    Nikkel a déclaré que certains chercheurs avaient soulevé de grands points avec des outils légitimes prêts à l’emploi existants tels que Metasploit ou Mimikatz, ou d’autres logiciels similaires dont les adversaires abusent fréquemment.

    «Sont-ils maintenant aussi illégitimes? Bien que le lancement du débat public soit une étape importante, la transparence autour de l’objectif final et de l’avenir devra être clairement expliquée aux utilisateurs de GitHub », a déclaré Nikkel. «Supposons que GitHub finisse par prendre des mesures plus strictes pour verrouiller ce qui est acceptable sur la plate-forme. Dans ce cas, les conditions de ce qu’ils considèrent comme une attaque ou une menace réelle devraient également être énoncées assez clairement, et dans des termes qui seraient compris par la communauté de la sécurité et les utilisateurs généraux de la plate-forme. “

    Bien que ce soit un geste agréable de GitHub pour rendre la plate-forme plus conviviale pour les chercheurs en sécurité, tout en essayant de réguler le contenu qui est téléchargé, «les idées ne sont pas toujours faciles à réaliser de la manière dont elles étaient initialement attendues», a déclaré Kamila Tukhvatullina, sécurité analyste, Lucy Security.

    «Ce dilemme existe depuis aussi longtemps que GitHub est un endroit populaire pour stocker du code», a déclaré Tukhvatullina. «Les chercheurs ont publié (et continuent de publier) des logiciels malveillants, des échantillons de ransomwares, des exploits et des outils de pénétration. C’est une pièce à double face: GitHub est une excellente plate-forme à partager avec d’autres chercheurs et à présenter votre travail, mais aussi à la fin, c’est une source gratuite de matériel pour les cybercriminels. Je trouve que c’est un sujet sensible et je ne m’attends pas à ce que les deux parties – GitHub et les chercheurs – trouvent bientôt un consensus. »

    Les critiques des chercheurs ont conduit à une réponse de Github, que le responsable de la sécurité Mike Hanley a clairement indiqué: «Notre tentative de clarification ici a échoué et a conduit à des interprétations qui ne correspondent pas à notre intention.»

    “Rebonjour. Je voulais ajouter quelques réflexions supplémentaires basées sur la réponse si loin de la communauté, ainsi que clarifier quelques points, en particulier que notre intention n’est pas d’introduire un changement de politique, mais plutôt de clarifier le langage existant », a écrit Hanley. «Nous lisons tous les commentaires et sommes reconnaissants que vous preniez le temps de commenter ici. Nous écoutons et en apprenons. »

    Hanley a poursuivi avec un certain nombre de clarifications. Premièrement, il a déclaré que GitHub autorise, prend en charge et promeut des logiciels à double usage, qui ne changeraient pas. Deuxièmement, l’intention de GitHub n’est pas nécessairement de changer de politique, mais de clarifier ce qui franchit la ligne de démarcation dans une violation de politique. Troisièmement, le libellé initial du «préjudice» était trop large et la crainte que sa mise en œuvre telle quelle ne soit une régression. Quatrièmement, le langage mis à jour demande un contact de sécurité pour les projets à double usage, mais ne l’exige pas. Et enfin, ce GitHub ne vise pas à dicter comment la divulgation des vulnérabilités se produit sur la plate-forme en tant que politique, mais encourage une approche centrée sur le mainteneur.

    «Nous assumons notre rôle de gardien de code impartial et de confiance avec toute la gravité qu’il mérite, et accueillons les débats et les commentaires car votre voix est au cœur de notre mission qui consiste à garantir que GitHub soit un foyer pour les développeurs et les chercheurs en sécurité», a écrit Hanley.

    Ce rapport a été mis à jour pour refléter la réponse publiée par GitHub.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *