Accueil
Cyberécurité

Bruce Schneier: divulgation ou mise en réserve des vulnérabilités

Tao Van Doren
Cyberécurité

Nous avons également besoin de davantage de recherches en découverte et en correction automatique des vulnérabilités, et en premier lieu pour créer des logiciels sécurisés et résilients. La recherche au cours de la dernière décennie a permis aux éditeurs de logiciels de pouvoir trouver et neutraliser des classes entières de vulnérabilités. Bien qu’il y ait beaucoup de cas où ces outils d’analyse de sécurité ne sont ne pas utilisés, toute notre sécurité est améliorée lorsqu’ils le sont. Cela est en soi une bonne raison de continuer à divulguer les détails des vulnérabilités, et quelque chose que la NSA peut faire pour améliorer considérablement la sécurité de l’Internet dans le monde entier. Ici encore, cependant, ils devront rendre les outils qu’ils utilisent pour trouver automatiquement les vulnérabilités disponibles uniquement pour la défense et non pour l’attaque.

Dans la course au cyber armement d’aujourd’hui, les vulnérabilités non corrigées et les cyberarmes stockées sont intrinsèquement déstabilisantes, surtout parce qu’elles ne sont efficaces que pour un temps limité. Les forces armées dans le monde investissent plus d’argent dans la recherche de vulnérabilités que le monde commercial n’en investit dans leur correction. Les vulnérabilités qu’elles découvrent affectent la sécurité de nous tous. Peu importe ce que font les cybercriminels, peu importe ce que font les autres pays, aux États-Unis, il faut pécher par excès de sécurité et corriger presque toutes les vulnérabilités que nous trouvons. Mais pas toutes. Pas encore.

Références

Cet essai est apparu sur TheAtlantic.com.
http://www.theatlantic.com/technology/archive/2014/05/should-hackers-fix-cybersecurity-holes-or-exploit-them/371197/

Fabricants de cyberarmes:
http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/

Vendre des vulnérabilités au marché noir:
http://www.zdnet.com/blog/security/black-market-for-zero-day-vulnerabilities-still-thriving/2108

Le commentaire de Jack Goldsmith:
http://www.lawfareblog.com/2014/04/cyber-paradox-every-offensive-weapon-is-a-potential-chink-in-our-defense-and-vice-versa
http://www.lawfareblog.com/2014/04/thoughts-on-white-house-statement-on-cyber-vulnerabilities

Le rapport du Groupe d’Examen des Technologies de Renseignement et de Communication:
http://www.whitehouse.gov/sites/default/files/docs/2013-12-12_rg_final_report.pdf

Cory Doctorow:
http://www.theguardian.com/technology/2014/mar/11/gchq-national-security-technology

Mon essai précédent:
http://edition.cnn.com/2014/02/20/opinion/schneier-nsa-too-big/index.html or http://tinyurl.com/qgtgjhh

Dan Geer:
http://geer.tinho.net/three.policies.2013Apr03Wed.PDF

Le commentaire de la Maison-Blanche:
http://www.nytimes.com/2014/04/29/us/white-house-details-thinking-on-cybersecurity-gaps.html
http://www.whitehouse.gov/blog/2014/04/28/heartbleed-understanding-when-we-disclose-cyber-vulnerabilities

Joel Brenner:
http://www.lawfareblog.com/2014/04/the-policy-tension-on-zero-days-will-not-go-away/

L’abondance de vulnérabilités:

http://www.rtfm.com/bugrate.pdf
http://dl.acm.org/citation.cfm?id=1920299
https://research.microsoft.com/pubs/79177/milkorwine.pdf

Richard Clarke et Peter Swire:
http://www.thedailybeast.com/articles/2014/04/18/the-nsa-shouldn-t-stockpile-web-glitches.html

Michael Hayden:
http://www.washingtonpost.com/blogs/the-switch/wp/2013/10/04/why-everyone-is-left-less-secure-when-the-nsa-doesnt-help-fix-security-flaws

Stuxneta a utilisé 4 vulnérabilité jour zéro:
http://www.zdnet.com/blog/security/stuxnet-attackers-used-4-windows-zero-day-exploits/7347

Moi sur la perte de confiance:
http://www.cnn.com/2013/07/31/opinion/schneier-nsa-trust/index.html

Microsoft sur la recherche et la correction des vulnérabilités:
http://download.microsoft.com/download/7/2/B/72B5DE91-04F4-42F4-A587-9D08C55E0734/Microsoft_Security_Intelligence_Report_Volume_16_English.pdf

Moi sur la course au cyberarmement:
https://www.schneier.com/essay-421.html

La théorie du jeu pour la cyberguerre:
http://journals.cambridge.org/action/displayAbstract?fromPage=online&aid=7666448

 

Texte © 2014 Bruce Schneier, CTO, Co3 Systems, Inc.
Article paru en anglais dans le bulletin d’information Crypto-Gram
Traduction française et mise en forme © 2014 Le Diligent
Portrait de Bruce Schneier © Ann De Wulf

(Sauf mention contraire, tout texte en italique et entre parenthèses est une note de l’éditeur.)