Les règles des US pour garder secrètes des failles de sécurité

 

L’administration Trump a publié un ensemble de règles non classifiées intervenant pour décider si une faille de sécurité doit être partagée ou gardée secrète.

Rob Joyce, coordinateur de la cybersécurité de la Maison Blanche, a déclaré mercredi à Washington que ces règles mettraient fin aux années de secret sur le processus d’équité des vulnérabilités (VEP) et calmeraient les rumeurs selon lesquelles le gouvernement disposerait d’un « vaste stock » de vulnérabilités exploitables pour des attaques offensives.

Un équilibre entre sécurité et renseignement

Cette décision est considérée comme un acte de transparence rare par le gouvernement, qui préservait le secret sur ces règles depuis leur création sous l’administration Obama.

Les règles ont été publiées sur le site Web de la Maison Blanche une heure après le discours de Joyce. Une fiche d’information a également été mise en ligne.

Sous la présidence Obama, le gouvernement avait créé un comité d’examen multi-agences pour déterminer si une faille découverte par la communauté du renseignement devait être divulguée en privé aux entreprises technologiques, ou gardée secrète dans la perspective de son utilisation dans le cadre d’opérations de renseignement telles que le piratage et l’exploitation du réseau.

Selon les détracteurs de ce principe, le gouvernement peut mettre en danger la cybersécurité des individus et des entreprises en conservant des vulnérabilités, et en ne les divulguant pas à des partenaires de l’industrie pour qu’elles puissent être corrigées avant leur découverte et exploitation par des criminels.

Mais le gouvernement soutient que le processus constitue un équilibre entre les besoins des forces de l’ordre et du renseignement, tout en veillant à ce que les vulnérabilités les plus importantes et dangereuses soient divulguées et corrigées par la suite.

Dans un billet de blog, Joyce affirme que la transparence est « critique » et que la publication des règles est « importante pour établir la confiance » dans le processus, y compris pour les agences impliquées.

Joyce a confirmé que les agences concernées comprennent le ministère du Commerce, de la Défense et de l’Énergie; La sécurité intérieure; le Service Secret; et le bureau du directeur du renseignement national, y compris la National Security Agency (NSA) et la Central Intelligence Agency (CIA); le Trésor, le Département d’Etat et la Maison Blanche.

Les règles nouvellement révélées montrent que si le comité décide de préserver le secret sur une vulnérabilité, une réévaluation doit être effectuée chaque année.

Et Joyce d’ajouter que le gouvernement publiera un rapport annuel fournissant des informations sur le travail du VEP.

90% des failles divulguées, mais à partir de quand ?

La communauté de la sécurité, qui demande au gouvernement de divulguer les détails de ce processus depuis des années, a longtemps estimé que le gouvernement détenait plus d’exploits qu’il ne le reconnaissait. La NSA n’est pas seulement chargée de trouver des vulnérabilités; des rapports montrent que l’agence a dépensé 25 millions de dollars en une seule année pour acheter à des tiers des détails sur des vulnérabilités non divulguées.

Joyce a réaffirmé, conformément à de précédentes déclarations, que plus de 90% des vulnérabilités sont divulguées aux partenaires. Il n’a en revanche pas précisé si la communication de ces failles était immédiate ou si elle intervenait ultérieurement.

« La charte stipule clairement que les vulnérabilités ne peuvent pas être stockées et que la divulgation devrait être l’hypothèse retenue » a commenté dans un courriel Michelle Richardson du Centre pour la démocratie et la technologie. « Il est extrêmement important et bénéfique que ce soit la politique publique officielle du gouvernement américain. »

La publication du rapport non classifié intervient moins d’un an après le vol et l’utilisation d’outils de piratage de la NSA pour lancer une attaque mondiale de ransomware. Les outils dérobés ont permis aux pirates d’infecter, sans être repérés, des ordinateurs Windows grâce à une backdoor, puis de diffuser le ransomware WannaCry.

D’autres outils ont permis aux analystes de la NSA de pénétrer dans une gamme de systèmes, d’équipements réseau et de pare-feu, et plus récemment, de serveurs Linux et de divers systèmes d’exploitation Windows. Les entreprises se sont efforcées de corriger les vulnérabilités après l’attaque de WannaCry.

Des hackers associés à la Corée du Nord ont été blâmés pour cette attaque, en dépit des dénégations du régime de Pyongyang.

Ces évènements ont incité le Congrès américain à annoncer une loi visant à empêcher le gouvernement de stocker des vulnérabilités, des outils de piratage et des cyber-armes.

Article « Trump administration releases rules on disclosing security flaws » traduit et adapté par Christophe Auffray, ZDNet.fr

ZDNet