Nous avons également besoin de davantage de recherches en découverte et en correction automatique des vulnérabilités, et en premier lieu pour créer des logiciels sécurisés et résilients. La recherche au cours de la dernière décennie a permis aux éditeurs de logiciels de pouvoir trouver et neutraliser des classes entières de vulnérabilités. Bien qu’il y ait beaucoup de cas où ces outils d’analyse de sécurité ne sont ne pas utilisés, toute notre sécurité est améliorée lorsqu’ils le sont. Cela est en soi une bonne raison de continuer à divulguer les détails des vulnérabilités, et quelque chose que la NSA peut faire pour améliorer considérablement la sécurité de l’Internet dans le monde entier. Ici encore, cependant, ils devront rendre les outils qu’ils utilisent pour trouver automatiquement les vulnérabilités disponibles uniquement pour la défense et non pour l’attaque.
Dans la course au cyber armement d’aujourd’hui, les vulnérabilités non corrigées et les cyberarmes stockées sont intrinsèquement déstabilisantes, surtout parce qu’elles ne sont efficaces que pour un temps limité. Les forces armées dans le monde investissent plus d’argent dans la recherche de vulnérabilités que le monde commercial n’en investit dans leur correction. Les vulnérabilités qu’elles découvrent affectent la sécurité de nous tous. Peu importe ce que font les cybercriminels, peu importe ce que font les autres pays, aux États-Unis, il faut pécher par excès de sécurité et corriger presque toutes les vulnérabilités que nous trouvons. Mais pas toutes. Pas encore.
Références
Cet essai est apparu sur TheAtlantic.com.
http://www.theatlantic.com/technology/archive/2014/05/should-hackers-fix-cybersecurity-holes-or-exploit-them/371197/
Fabricants de cyberarmes:
http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/
Vendre des vulnérabilités au marché noir:
http://www.zdnet.com/blog/security/black-market-for-zero-day-vulnerabilities-still-thriving/2108
Le commentaire de Jack Goldsmith:
http://www.lawfareblog.com/2014/04/cyber-paradox-every-offensive-weapon-is-a-potential-chink-in-our-defense-and-vice-versa
http://www.lawfareblog.com/2014/04/thoughts-on-white-house-statement-on-cyber-vulnerabilities
Le rapport du Groupe d’Examen des Technologies de Renseignement et de Communication:
http://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf
Cory Doctorow:
http://www.theguardian.com/technology/2014/mar/11/gchq-national-security-technology
Mon essai précédent:
http://edition.cnn.com/2014/02/20/opinion/schneier-nsa-too-big/index.html or http://tinyurl.com/qgtgjhh
Dan Geer:
http://geer.tinho.net/three.policies.2013Apr03Wed.PDF
Le commentaire de la Maison-Blanche:
http://www.nytimes.com/2014/04/29/us/white-house-details-thinking-on-cybersecurity-gaps.html
http://www.whitehouse.gov/blog/2014/04/28/heartbleed-understanding-when-we-disclose-cyber-vulnerabilities
Joel Brenner:
http://www.lawfareblog.com/2014/04/the-policy-tension-on-zero-days-will-not-go-away/
L’abondance de vulnérabilités:
http://www.rtfm.com/bugrate.pdf
http://dl.acm.org/citation.cfm?id=1920299
https://research.microsoft.com/pubs/79177/milkorwine.pdf
Richard Clarke et Peter Swire:
http://www.thedailybeast.com/articles/2014/04/18/the-nsa-shouldn-t-stockpile-web-glitches.html
Michael Hayden:
http://www.washingtonpost.com/blogs/the-switch/wp/2013/10/04/why-everyone-is-left-less-secure-when-the-nsa-doesnt-help-fix-security-flaws
Stuxneta a utilisé 4 vulnérabilité jour zéro:
http://www.zdnet.com/blog/security/stuxnet-attackers-used-4-windows-zero-day-exploits/7347
Moi sur la perte de confiance:
http://www.cnn.com/2013/07/31/opinion/schneier-nsa-trust/index.html
Microsoft sur la recherche et la correction des vulnérabilités:
http://download.microsoft.com/download/7/2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intelligence_Report_Volume_16_English.pdf
Moi sur la course au cyberarmement:
https://www.schneier.com/essay-421.html
La théorie du jeu pour la cyberguerre:
http://journals.cambridge.org/action/displayAbstract?fromPage=online&aid=7666448
Texte © 2014 Bruce Schneier, CTO, Co3 Systems, Inc.
Article paru en anglais dans le bulletin d’information Crypto-Gram
Traduction française et mise en forme © 2014 Le Diligent
Portrait de Bruce Schneier © Ann De Wulf
(Sauf mention contraire, tout texte en italique et entre parenthèses est une note de l’éditeur.)