web-dev-qa-db-fra.com

Que faire lorsque je découvre une éventuelle vulnérabilité de sécurité d'intérêt public?

Disons que j'ai trouvé une vulnérabilité possible dans un système de sécurité. Le système a été universellement considéré comme sain pendant des années et est aujourd'hui utilisé dans le monde entier.

Je ne suis pas un expert en sécurité, mais il y a des choses qui m'inquiètent:

  • Utiliser un système de sécurité en pensant qu'il est sûr est pire que de ne pas en utiliser un, car je compte entièrement sur sa sécurité pour une raison quelconque;
  • Le système est mis en œuvre dans différents pays, donc révéler des détails sur les raisons pour lesquelles il n'est pas sûr peut compromettre ceux qui ne mettent pas à jour leurs systèmes immédiatement;
  • Je voudrais prendre le crédit pour mon travail/découverte, mais en même temps, la découverte peut être trop grande pour moi;
  • Il n'y a actuellement aucune véritable alternative à ce système de sécurité car il est considéré comme le meilleur depuis des années et personne n'a dépensé de temps et de ressources pour en trouver un meilleur;
  • Révéler les problèmes sans apporter de solution semble dire à la communauté scientifique "Hé, tout ce que vous considérez comme sûr ne l'est pas, dépêchez-vous et trouvez une meilleure solution".

Pour toutes les raisons ci-dessus, je me demande ce que quelqu'un devrait faire dans une situation aussi maladroite.

Pardonnez mon flou, mais je pense que vous comprenez la raison.

25
Jacob

Ce serait une question d'opinion sur la façon de procéder. Nous avons déjà une question expliquant différentes manières éthiques de signaler une vulnérabilité.

Tout d'abord, pour quelque chose d'aussi gros, je vous recommanderais personnellement de rester anonyme au début, tout en laissant un moyen de prouver plus tard que c'est bien vous qui avez découvert la vulnérabilité. Créez une toute nouvelle clé PGP (non liée à votre identité), signez vos messages avec elle et publiez-les de manière anonyme (via Tor par exemple). Si vous vous sentez plus tard sûr que tout va bien et qu'il n'y a pas des centaines d'avocats assoiffés de sang qui vous poursuivent, vous pouvez utiliser cette clé pour signer un message disant que c'était vous (avec votre nom complet).

Je recommande l'approche de divulgation responsable: vous entrez en contact avec les développeurs dudit système de sécurité et leur laissez du temps pour déployer un correctif.

Si vous n'obtenez aucune réponse, ne réponse stupide ou même des hordes d'avocats en colère qui vous aboient, utilisez simplement votre anonymat pour rendre public et faire savoir à tout le monde comment cette entreprise gère les failles de sécurité.

Je ne suis pas d'accord sur le fait que divulguer une faille sans fournir d'alternative est une mauvaise idée. Cette faille est peut-être déjà connue des méchants et il vaut mieux que tout le monde le sache (et peut au moins savoir que ce n'est pas sécurisé) plutôt que de laisser les méchants apprécier tranquillement d'utiliser ces informations. De plus, même s'il n'y a pas d'alternative maintenant, cette découverte peut motiver quelqu'un à réellement faire une alternative sûre.

Enfin, même si je ne sais pas de quel type de "système de sécurité" nous parlons, la sécurité devrait être assurée par couches et toute entreprise qui s'appuie sur ce système car sa seule défense mérite de tomber, tout comme celles qui ne le font pas prendre la peine de mettre à jour une fois qu'un correctif est disponible.

41
André Borie

Vous voudrez vérifier qu'il s'agit d'une vulnérabilité réelle , généralement en créant une preuve de concept. De là, vous pouvez:

  • Contactez le fournisseur du logiciel en privé, expliquez vos résultats et les problèmes qui lui sont associés, en attachant le PoC pour qu'ils l'analysent.
  • Communiquez la vulnérabilité au public, en espérant que l'attention supplémentaire persuadera le fournisseur de publier un correctif.
  • Soyez complètement silencieux à ce sujet, en espérant que les blackhats ne le trouvent pas.

La première option est probablement la meilleure. Vous n'avez pas besoin de divulguer votre identité personnelle pour divulguer des informations. J'ai utilisé plusieurs poignées et comptes jetables pour de telles communications dans des circonstances similaires.

La deuxième option est risquée. Vous risquez un contrecoup public ("Pourquoi donneraient-ils une vulnérabilité ouverte aux personnes qui en abuseraient?") Et vous vous mettez, vous et le vendeur, dans une mauvaise situation. Alors que certaines personnes peuvent applaudir vos efforts, d'autres y verront un problème.

La troisième option est encore plus risquée. Si vous avez la capacité de créer un PoC, il en va de même pour les personnes mal intentionnées. La seule différence ici est votre éprouvé la sécurité par l'obscurité aka un très mauvais heure .

Votre meilleur pari est de commencer avec la première option, en retombant sur la seconde si vous êtes complètement ignoré. J'ai vu des histoires de personnes contactant des fournisseurs pendant des mois, révélant enfin la vulnérabilité au public, puis voyant un patch corrigeant le problème. Dans un monde idéal, le vendeur prendra cela au sérieux et résoudra le problème une fois que vous les aurez contactés. À moins qu'ils ne négligent le problème ou constatent qu'il ne s'agit pas d'un problème, ils seront les meilleurs pour y remédier. S'ils n'y parviennent pas, ils courent le risque réel de devenir le prochain Java ou Flash aka complètement non fiable pour le public.

C'est généralement mauvais pour les affaires.

8
user41341

Vous voulez prendre du crédit mais vous ne voulez pas être connu? Cela ne fonctionnera tout simplement pas.
Décidez de ce qui est le plus important: le crédit ou la divulgation anonyme de la vulnérabilité.

Si le faire connaître est plus important, je vois que vous avez un nouveau compte, etc., c'est bien. (si c'est vraiment si gros, j'espère que vous avez un nouveau système d'exploitation sur un nouvel appareil, pas de profil de navigateur, et Tor aussi. Sinon, commencer maintenant est trop tard.).
Comme étape suivante, si vous n'êtes même pas sûr que ce soit un vuln, juste nous dire la situation ici est un début.

À propos de la partie "ne pas dire parce que exploitable": Eh bien, si cela vous inquiète, et votre identité, je ne vois aucun moyen de le dire à qui que ce soit. Dans ce cas ... oubliez ça?

5
deviantfan

Thebluefish a omis de mentionner "Divulgation responsable" lorsqu'un tiers de confiance fournit un service d'entiercement pour une durée limitée, permettant au vendeur de réparer le défaut tout en garantissant que le découvreur est crédité. Le CERT sponsorise une telle approche.

Mais selon la réponse précédente, vous avez besoin d'une preuve de concept. Malheureusement, les produits de "sécurité" introduisent plus souvent des vulnérabilités que la plupart des professionnels ne s'y attendent.

2
symcbean