Après qu’un chercheur en sécurité a publié une série de bogues non corrigés dans les produits Microsoft, ainsi que du code pour les exploiter, la société menace désormais d’engager des poursuites judiciaires et d’appeler la police. La menace voilée de Microsoft relance un débat de longue date sur la responsabilité, le cas échéant, des chercheurs en sécurité dans la divulgation des vulnérabilités affectant les grands et riches géants de la technologie.
Mercredi, Microsoft a publié un article de blog critiquant le chercheur, connu sous le nom de « Nightmare Eclipse », pour avoir divulgué publiquement une série de bogues, notamment BlueHammer, RedSun, UnDefend et YellowKey. Les failles affectaient des produits tels que le moteur antivirus intégré à Windows Defender et l’outil de chiffrement de disque BitLocker.
Le cœur des plaintes de Microsoft est que le chercheur n’a pas tenté de signaler les bogues afin que l’entreprise puisse les corriger. Cela aurait été « responsable », comme le dit le blog de Microsoft. L’autre côté de l’argument de l’entreprise est qu’en publiant les détails des bugs et comment les exploiter avant qu’ils ne soient corrigés, Nightmare Eclipse aurait pu aider des pirates malveillants. Certaines des vulnérabilités révélées par Nightmare Eclipse ont depuis été utilisées par des pirates informatiques dans des attaques réelles, selon Microsoft, ainsi que l’agence américaine de cybersécurité CISA.
« Notre unité des crimes numériques continuera de porter plainte contre ces acteurs et ceux qui facilitent leurs activités criminelles, en se coordonnant si nécessaire avec les forces de l’ordre du monde entier », a écrit Microsoft. (L’unité des crimes numériques de Microsoft a pour mission de protéger l’entreprise technique à travers différentes stratégies, notamment « des actions en justice civiles, des contre-mesures, des poursuites pénales et des partenariats public-privé », selon son site Internet).
Dans une série de blogs publiés ces dernières semaines – sans fournir beaucoup de détails spécifiques – Nightmare Eclipse a affirmé avoir été en contact avec Microsoft, mais la société les aurait maltraités, notamment en révoquant l’accès à leur compte Microsoft Security Response Center, le portail où les chercheurs peuvent signaler des vulnérabilités au géant de la technologie. L’implication de Nightmare Eclipse était qu’ils n’avaient d’autre choix que de publier les vulnérabilités publiquement, ce qui signifiait essentiellement qu’à ce stade, elles étaient de type zéro jour, un terme spécifique désignant les vulnérabilités de sécurité inconnues du fabricant de logiciels concerné au moment où elles sont divulguées ou exploitées.
Les chercheurs ont publié les bugs sur les référentiels open source GitHub (propriété de Microsoft) et GitLab. Les comptes des chercheurs sur ces plateformes ont été interdits.
Nightmare Eclipse et Microsoft n’ont pas répondu à une demande de commentaire.
Les vétérans de la cybersécurité mettent en garde contre un effet dissuasif
Cette querelle publique ramène un débat de longue date et encore quelque peu controversé : les chercheurs indépendants en sécurité ont-ils le devoir de s’assurer que les vulnérabilités qu’ils découvrent sont corrigées ? Et jusqu’où sont-ils censés aller pour s’assurer que les entreprises dont les produits sont vulnérables les réparent réellement ?
Une partie de ce débat, pleinement réglée et largement reconnue, est que les chercheurs méritent d’être payés pour leur travail. Même si cela peut paraître évident de nos jours, cela a nécessité des années de lutte, notamment lors d’une campagne lancée en 2009 intitulée « No More Free Bugs ». Près de 20 ans plus tard, la plupart des entreprises, petites et grandes, versent des récompenses financières « bug bounty », qui peuvent aujourd’hui atteindre six chiffres ou plus, aux chercheurs qui divulguent des bogues en privé et coordonnent la publication de leurs détails une fois les bogues corrigés.
En réponse à cette dernière controverse concernant Nightmare Eclipse, d’innombrables chercheurs ont partagé leurs mauvaises expériences en signalant des bugs à Microsoft. Il est juste de dire qu’une grande partie de la communauté de la cybersécurité est vivement mécontente de la façon dont Microsoft gère ce problème. Cela inclut des vétérans de la cybersécurité, comme Katie Moussouris, fondatrice de Luta Security, qui, alors qu’elle travaillait chez Microsoft au milieu des années 2000, a été la pionnière des bug bounties et a convaincu le géant de la technologie de s’éloigner du concept de « divulgation responsable » en décrivant le processus comme une « divulgation coordonnée ».
« Invoquer le terme « divulgation responsable » a été la première frappe dans mon livre », a déclaré Moussouris à TechCrunch, faisant référence au blog de Microsoft. « Ajouter une menace de poursuites en mentionnant (Digital Crimes Unit) était exagéré et ne ferait qu’amener les chercheurs en sécurité à se méfier de Microsoft. »
Moussouris a averti que les conséquences de la perte de confiance des chercheurs en sécurité envers Microsoft pourraient avoir pour effet dissuasif de réduire le nombre de personnes signalant des bogues, « ce qui rendrait la situation moins sûre pour nous tous ».
Kevin Beaumont, chercheur en sécurité et ancien employé de Microsoft, a également dénoncé Microsoft dans un article de blog, décrivant la position de l’entreprise comme un « incendie de poubelle de sa propre initiative ».
« La création et la distribution d’exploits de preuve de concept pendant zéro jour constituent désormais une « activité criminelle » ? » » écrit Beaumont. « La divulgation responsable est très souvent conçue pour protéger le propriétaire du produit, et non le client ; l’utiliser pour tenter de poursuivre pénalement des personnes est un nouveau plus bas. »
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
