web-dev-qa-db-fra.com

Exige-t-on un «don» avant de révéler les vulnérabilités du comportement du chapeau noir?

Nous avons été contactés par un "chercheur indépendant en sécurité" via le projet Open Bug Bounty . Les premières communications se sont bien déroulées et il a révélé la vulnérabilité trouvée. Nous avons réparé le trou et dit "merci", mais nous avons refusé de faire un don (voir ci-dessous).

Le chercheur a ensuite envoyé un e-mail de suivi disant qu'il avait trouvé plus de vulnérabilités, mais comme nous n'avons pas fait de don, il gardera ces vulnérabilités pour lui.
En d'autres termes, il nous a seulement dit qu'il avait plus de vulnérabilités, mais ne les révélerait pas, après que nous ayons pris la décision de ne pas payer le don volontaire suggéré.

À ma connaissance, cela ne correspond plus au comportement responsable du chapeau blanc. Ai-je raison dans cette affirmation?


Mise à jour
Oui, la personne a été assez explicite dans le montant suggéré pour le don.

Les différentes raisons comprennent le non-paiement du "don" demandé:

  • la hauteur suggérée du "don volontaire" en combinaison avec la gravité de la vulnérabilité trouvée,
  • la vulnérabilité en question n'était, selon nos journaux, pas découverte par une personne "hautement qualifiée", mais plutôt par un outil automatisé,
  • le fait que le projet Open Bug Bounty mentionne explicitement qu'aucun paiement n'est requis,
  • le ton agressif passif de la voix.

Ce qui précède, en combinaison avec le fait que, alors que nous sommes en train de mettre en place un budget de primes aux bogues et une politique associée, nous ne l'avons pas encore terminé.

Soyons clairs: nous n'avons pas fixé de prime, ni promis de prime et nous ne nous sommes pas inscrits à ce projet. Le projet Open Bug Bounty est un projet non affilié qui dit explicitement: " Il n'y a, cependant, absolument aucune obligation ni devoir d'exprimer une gratitude".

Aussi, notez: Bien que j'appuie une sorte de cadre juridique pour protéger les chercheurs en sécurité de bonne foi, ce cadre juridique n'existe pas pour le moment dans notre juridiction; un fait que notre personne morale tenait trop à souligner.

37
Jacco

Je suis un chasseur d'insectes et je n'ai aucune idée pourquoi tout le monde ici pense qu'il est parfaitement bien de lui d'attaquer votre site Web sans autorisation, de déterminer lui-même un montant de prime et de menacer de retenir des failles potentiellement dangereuses parce qu'il n'obtient pas l'argent qu'il veut. Pourquoi n'a-t-il pas demandé votre politique à l'avance? Vous n'avez jamais prétendu exécuter un programme de primes de bogues ou être en mesure de payer quoi que ce soit à qui que ce soit.

Pour clarifier encore une fois, OP ne s'est pas inscrit au projet Open Bug Bounty. Le projet propose d'être un intermédiaire entre les chercheurs et les sites Web qui ne gèrent pas de programme de primes. De plus, ils mentionnent explicitement que vous n'êtes pas obligés de payer quoi que ce soit, et le chercheur devrait bien le savoir s'il lire les directives.

Un propriétaire de site Web peut exprimer sa gratitude au chercheur d'une manière qu'il considère la plus appropriée et proportionnelle aux efforts et à l'aide du chercheur. Nous encourageons les propriétaires de sites Web à dire au moins un "merci" au chercheur ou à écrire une recommandation dans son profil. Il n'y a cependant absolument aucune obligation ni devoir d'exprimer sa gratitude.

(Soulignez le mien)

S'il s'attend à une récompense monétaire, il devrait rechercher des bogues dans les entreprises qui exécutent réellement un programme de primes. Il existe de nombreux programmes réputés offrant des récompenses élevées.

Le chercheur a ensuite envoyé un e-mail de suivi disant qu'il avait trouvé plus de vulnérabilités, mais comme nous n'avons pas fait de don, il gardera ces vulnérabilités pour lui.

S'il les a déjà trouvés et que cela ne demande pas beaucoup d'efforts de les mettre dans une liste et de vous le faire savoir, alors oui, je trouve contraire à l'éthique de retenir les bugs.1 Vous ne lui avez pas demandé de travailler pour vous. Il aurait pu demander à l'avance si vous payez des bugs. Et il ne vous a pas tellement offert son expertise pour un don - d'après votre description, cela ressemble plus à une menace légère que si vous ne le payez pas, votre site Web est en danger.

Prenez cet incident comme un indice que vous devez investir davantage dans votre sécurité. Envisagez de mettre en place un véritable programme de primes de bogues avec de petites primes ou d'embaucher un testeur de pénétration professionnel. Mais ne le laissez pas vous extorquer de l'argent si vous n'en avez jamais promis.

1Ce n'est pas qu'il devrait faire du travail gratuit pour vous. C'est le fait qu'il mentionne que il y a quelque chose qu'il ne vous dira pas à moins que vous ne lui payiez un montant particulier qui le rend contraire à l'éthique, surtout si une exploitation de ces bogues pourrait menacer l'avenir de votre compagnie.

45
Arminius

À ma connaissance, cela ne correspond plus au comportement responsable du "chapeau blanc". Ai-je raison dans cette affirmation?

Chapeau blanc (et gris/noir) sont des termes vagues. Il n'y a pas de définition universelle fixe. Selon les définitions de Wikipédia, la plupart des chercheurs seraient considérés comme Gray Hat, car il n'est pas rare de publier si l'éditeur de logiciels refuse de patcher.

La réponse simple à votre question est non. Si votre objectif est de rendre le monde plus sûr, cela ne correspond clairement pas directement. Il y a un argument indirect - qu'en encourageant la récompense financière, il encourage une relation plus saine entre les entreprises et les chercheurs ainsi qu'en encourageant plus de personnes dans le domaine.

Pourquoi demandez-vous même? Le chercheur n'est en aucun cas obligé de vous divulguer. À moins que vous ne puissiez prouver qu'il a enfreint la loi en trouvant les vulnérabilités, vous n'avez aucun moyen de le forcer. À ce jour, vous avez reçu plusieurs heures de travail d'une personne hautement qualifiée (espérons-le - sinon cela vous met sous un mauvais jour) entièrement gratuite. Soit vous considérez qu'il vaut la peine de le payer pour continuer à offrir des services, soit vous ne le faites pas.

* En voyant le titre, je dirais que ce n'est pas un comportement de Black Hat à moins qu'il n'exploite délibérément les vulnérabilités pour son propre gain ou votre propre préjudice (/ les donne directement à quelqu'un avec cette intention). S'il refuse simplement de divulguer, l'argument serait entre les définitions de chapeau blanc/gris.

74
Hector

Le chercheur n'a pas créé la vulnérabilité et n'a pas menacé de libérer ou d'exploiter ce qu'il a trouvé. Si vous ne souhaitez pas payer pour son travail, ne le faites pas et votre entreprise n'est pas moins bien lotie qu'avant qu'il ne vous contacte. En fait, il vous a fait le don de vous dire qu'il existe une vulnérabilité que vous pouvez vous retrouver ou passer par un autre entrepreneur.

Donc non, il n'a rien fait de contraire à l'éthique.

57
PStag

Il n'a pas besoin de divulguer - mais il savait qu'en entrant au deuxième tour, vous ne payez pas. Quelle est donc sa motivation? Vous ne pouvez pas savoir - il utilise donc cet écart pour vous inciter à payer.

Cependant, puisqu'il n'a pas menacé de publier des logiciels malveillants ou de vendre à des chapeaux noirs, il est potentiellement clair légalement et peut-être même éthiquement s'il ne le fait jamais, ou s'il fait juste un cliché ouvert de l'exploit sans le vendre à des chapeaux noirs.

Il pourrait le vendre légalement aux États-nations et aux sociétés de sécurité, mais ne connaissant pas l'importance de votre code, il est impossible de dire si c'est un lieu de vente pour le "chercheur".

Payer une juste valeur marchande est probablement votre meilleur pari. La personne a passé du temps à faire des recherches et les informations ont de la valeur pour vous. Même s'ils le publient ouvertement, il est dans le vide juridique. Cela dépend du préjudice que pourrait vous causer une version sans notification. Si la réponse n'est pas beaucoup, ignorez-la. Sinon, venez avec l'argent. Ceci est purement utilitaire BTW - ne parle pas vraiment de l'éthique. D'un point de vue éthique, il aurait dû abandonner la recherche sur votre application/site dont il savait que vous n'étiez pas intéressé à payer, sauf s'il existe des données publiques qu'il pense que vous mettez en danger.

10
Mark Stewart