Me voilà de retour dans les pages de Cyberun – Cybersecurity Strategies, le magazine des décideurs en cybersécurité. Cette fois, ma contribution est sur l’un de mes sujets principaux : comment, quand on ne fait pas partie d’une organisation, on l’informe de problèmes techniques avec un impact sur la sécurité. L’article est à lire dans le 12e numéro de Cyberun. Le texte complet est ci-dessous.
De la qualité du code des applicatifs (sites web, développements « maison », etc.) dépend essentiellement leur sécurité. Que faire pour la renforcer et comment gérer les vulnérabilités ?
La divulgation coordonnée de vulnérabilités (CVD en bref pour Coordinated Vulnerability Disclosure) est le processus permettant une collaboration entre un hacker éthique et le responsable du SI. Les hackers éthiques peuvent significativement contribuer à accroître la sécurité numérique.
Toutefois, le « premier contact » est souvent difficile à établir. De plus, même lorsqu’une vulnérabilité est signalée, les responsables du SI affecté peuvent préférer ne pas en tenir compte. Ce silence pousse à la divulgation publique, moyen de faire pression pour faire corriger la vulnérabilité.
Les enjeux de la divulgation coordonnée de vulnérabilités
Lorsque les acteurs malveillants sont les seuls informés d’une vulnérabilité ou ont un avantage chronologique, le risque numérique augmente pour tous, notamment si les vulnérabilités ont des répercussions importantes. L’adoption de politiques de divulgation coordonnée a ainsi des bénéfices significatifs pour les parties prenantes : montée en maturité de la sécurité, développement de talents au sein des organisations et autonomie technologique de par la maîtrise renforcée des risques numériques liés à la gestion des vulnérabilités.
Elle implique aussi une montée en maturité car elle requiert de comprendre, cartographier, structurer, responsabiliser et de rendre opérant un processus, où les rôles et responsabilités des actifs numériques sont clairement identifiés et endossés.
Le cycle de vie d’une vulnérabilité décrit les différents événements susceptibles de l’affecter et d’influencer le niveau de risque pour les utilisateurs, mais aussi la nécessité d’action de la part des différentes parties prenantes. En outre, une vulnérabilité découverte est susceptible d’être redécouverte dans un délai relativement court. Ces périodes déterminent les phases de variation de l’exposition aux risques. À cette notion de variation avec le cycle de vie de la vulnérabilité s’ajoutent les appétences différentes au risque.
Il est donc primordial de maîtriser, autant que possible, le chaînon fondamental de la divulgation, afin de garantir la connaissance restreinte de l’existence et l’impact potentiel de la vulnérabilité.
Le site ZeroDisclo.com
ZeroDisclo.com est une plateforme non partisane et gratuite, opérée par YesWeHack, qui permet de signaler des vulnérabilités tout en gardant l’anonymat. Grâce à ZeroDisclo, la divulgation peut également se faire via le navigateur Tor. Lors de la rédaction, le hacker éthique choisit de laisser des coordonnées de contact.
Quel que soit le navigateur utilisé, le rapport est chiffré avec la clé publique de l’organisation réceptrice (telle qu’un CERT privé ou national), puis signé et horodaté par une blockchain. Le site envoie le rapport, et le hacker signalant la vulnérabilité reçoit un certificat en guise de preuve de dépôt. ZeroDisclo.com formalise le rapport, notamment via différents critères permettant le calcul du score de sévérité CVSS.
Plus important encore, le chiffrement du rapport assure que ZeroDisclo.com fait seulement office de « courroie de transmission » et non une base de données de vulnérabilités. À aucun moment, la plateforme ou les individus qui l’administrent n’accèdent aux détails de la vulnérabilité décrite.
Ce fonctionnement permet de faciliter la divulgation coordonnée de vulnérabilités, sans que ZeroDisclo.com n’ait à engranger une connaissance dangereuse des défaillances affectant les systèmes d’information de tiers. La confidentialité des informations sur le potentiel risque de sécurité est assurée ; l’intégrité du rapport l’est tout autant, grâce au chiffrement et à l’horodatage blockchain.