Bruce Schneier: divulgation ou mise en réserve des vulnérabilités

La NSA et par extension l’US Cyber Command, essaie de son mieux de jouer à ce jeu des deux mains. L’ancien directeur de la NSA Michael Hayden parle de NOBUS, « nobody but us» (personne d’autre que nous. La NSA a un processus classé pour déterminer ce qu’elle doit faire des vulnérabilités : divulguer et corriger la plupart de celles qu’elle trouve, mais retenir certaines vulnérabilités- nous ne savons pas combien – que «personne d’autre que nous» ne pourraient découvrir dans un but offensif.

Cette approche semble être un cadre général approprié, mais le diable est dans les détails. Beaucoup d’entre nous dans le domaine de la sécurité ne savons pas comment prendre des décisions NOBUS, et la clarification récente de la Maison-Blanche a posé plus de questions qu’elle n’a apporté de réponses.

Qui prend ces décisions et comment ? Combien de fois sont-elles examinées ? Ce processus d’examen s’effectue-t-il à l’intérieur du ministère de la défense, ou plus largement ? Sûrement, il faut faire un examen technique de chaque vulnérabilité, mais il faudrait aussi des examens politiques concernant les diverses formes de vulnérabilités que nous amassons. Gardons-nous ces vulnérabilités jusqu’à ce que quelqu’un d’autre les trouve, ou seulement pendant une courte durée ? Combien en avons nous? La cyberarme américano-israélienne Stuxnet a utilisé quatre vulnérabilités jour zéro. En dépenser autant sur une seule opération militaire implique que nous n’en gardons pas un petit nombre, mais plutôt une centaine ou plus.

Il y a encore un point intéressant. Une cyberarme est composé d’une charge utile – les dégâts qu’elle occasionne – et un mécanisme de livraison : la vulnérabilité qui permet d’envoyer la charge utile dans le réseau ennemi. Imaginez que la Chine connaisse une vulnérabilité et l’utilise dans une cyberarme potentielle, et que la NSA l’apprenne par espionnage. La NSA devrait-elle divulguer et corriger la vulnérabilité, ou doit-elle l’utiliser elle-même pour attaquer ? Si elle la révèle, la Chine pourrait trouver une vulnérabilité de remplacement inconnue de la NSA. Mais si elle ne la révèle pas, elle laisse les États-Unis délibérément vulnérables à la cyberattaque. Un jour peut-être, arriverons nous à corriger les vulnérabilités plus vite que l’ennemi ne peut les utiliser lors d’une attaque, mais nous en sommes encore loin.

Les implications de la politique américaine peuvent se faire sentir à plusieurs niveaux. Les actions de la NSA ont entraîné une méfiance généralisée de la sécurité des produits et des services Internet, ce qui affecte grandement les entreprises américaines.

Si nous montrons que nous privilégions la sécurité à la surveillance, nous pouvons commencer à restaurer cette confiance. Et en rendant le processus de décision publique beaucoup plus transparent qu’il ne l’est aujourd’hui, nous pouvons démontrer à la fois notre que nous sommes dignes de confiance, et qu’un gouvernement ouvert a de la valeur.

Une vulnérabilité non corrigée met tout le monde en péril, mais pas au même degré. Les États-Unis et les autres pays occidentaux sont très vulnérables, en raison de nos infrastructures électroniques, de notre propriété intellectuelle et de notre fortune personnelle. Les pays comme la Chine et la Russie sont moins vulnérables – la Corée du Nord encore moins–donc ils sont considérablement moins incités à corriger les vulnérabilités. Corriger les vulnérabilités, ce, n’est pas un désarmement ; c’est rendre nos pays beaucoup plus sûrs. Nous retrouvons aussi l’autorité morale pour négocier des réductions internationales larges du nombre de cyberarmes ; et nous pouvons décider de ne pas les utiliser même si d’autres le font.

Quelle que soit notre politique envers l’accumulation des vulnérabilités, la chose la plus importante que nous pouvons faire est de corriger les vulnérabilités rapidement une fois qu’elles sont divulguées. Et c’est ce que font les entreprises, même sans aucune participation de l’État, parce que tant de vulnérabilités sont découvertes par des criminels.