La NSA affirme que 91 % des failles découvertes font l'objet d'une communication

La NSA affirme que 91 % des failles découvertes font l’objet d’une communication

Oui, mais quand ?

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

09/11/2015
23
La NSA affirme que 91 % des failles découvertes font l'objet d'une communication

La NSA a communiqué récemment au sujet de sa gestion des failles de sécurité. Elle y explique que 91 % de brèches découvertes font l’objet d’une communication à l’éditeur ou au constructeur pour qu’elles soient colmatées. Mais l’agence de sécurité américaine masque de très importantes informations manquantes.

Il y a environ une semaine, la NSA a publié sur son site officiel une infographie pour communiquer sur un sujet qui a créé une vraie polémique : les failles de sécurité. Les documents dérobés par Edward Snowden montraient clairement que l’agence de sécurité cherchait à en récupérer par tous les moyens, les accumulant pour les exploiter au lieu d’en expédier les détails aux entreprises concernées. La NSA était notamment accusée de fragiliser les fondations d’Internet en gardant sous réserve des informations pouvant provoquer de vraies crises de sécurité.

91 % : le gros chiffre

La NSA est parfaitement au fait de l’aura de scandale qui entoure cette activité. Dans son infographie, elle donne une statistique importante : plus de 91 % des failles découvertes (sur un total non précisé) font l’objet d’une communication aux entreprises, qui peuvent donc les corriger une fois qu’elles ont les détails. L’agence explique qu’il s’agit d’une partie importante de son travail puisque le colmatage des vulnérabilités participe de la sécurité nationale.

Chaque fois qu’une faille est découverte, elle transite à travers un processus interne d’évaluation. Ce n’est qu’au bout de ce dernier qu’il est décidé si la faille sera révélée à l’entreprise ou non. Les 9 % qui restent répondent à deux cas de figure : soit l'entreprise concernée était déjà au courant et avait corrigé la faille, soit la NSA en gardait les détails pour ses propres besoins.

nsa failles

« un Internet ouvert, interopérable, sécurisé et fiable »

L’agence insiste largement sur ce processus d’évaluation et sur le soin qu’elle porte à peser le pour et le contre de chaque situation. Elle explique ainsi qu’en cas de révélation de la faille, des opportunités peuvent être manquées : récupérer des renseignements essentiels sur une puissance étrangère qui pourraient bloquer une tentative d’attaque terroriste, se défendre contre le vol de propriété intellectuelle.

De fait, elle espère que le message sera clair pour tout le monde : « Le gouvernement américain prend au sérieux son engagement pour un Internet ouvert, interopérable, sécurisé et fiable. Dans la vaste majorité des cas, dévoiler de manière responsable une vulnérabilité nouvellement découverte est clairement dans l’intérêt national. Nous nous appuyons tous sur Internet et des systèmes connectés pour une bonne partie de notre quotidien. De plus, notre économie ne fonctionnerait pas sans eux. Pour ces raisons, révéler les vulnérabilités a généralement du sens. Mais il y a des pours et des contres légitimes dans la décision de les révéler, et les inconvénients entre les révélations rapides la conservation de connaissances sur certaines failles pendant un temps limité peut avoir des conséquences significatives ».

La NSA veut évidemment redorer son blason en rappelant que son activité ne tourne pas uniquement autour de l’espionnage et du renseignement. Il est clair que l’agence participe pleinement à la sécurité du pays et que ses missions sont diverses. Elle intervient par exemple de manière consultative sur les protocoles de sécurité. Mais le passage par les ingénieurs de la NSA est par contre obligatoire dès lors qu’un produit lié à la sécurité peut être utilisé par l’une des multiples administrations et instances du gouvernement.

La grande question du « Quand ? »

Pour autant, les informations données par la NSA dans sa communication sont très partielles et des zones d’ombre importantes subsistent. Par exemple, elle insiste sur le chiffre des 91 %, mais elle ne dit à aucun moment si ces failles ont été utilisées de manière active avant qu’il soit envisagé d’en partager les détails avec l’éditeur ou le constructeur concerné. Certes, elle aborde le caractère « rapide » de ces partages, mais sans aucune liste ou statistique précise, il est impossible de savoir ce qu’elle fait réellement de ces informations, ni de la hâte avec laquelle elle s’empresse de vouloir rendre service.

Un article de Reuters plonge justement dans cette obscurité en rappelant combien le processus d’examen des failles demeure secret, tous les détails en étant classifiés. Quand les documents de Snowden avaient montré en septembre 2013 comment la NSA introduisait des failles de sécurité dans certains produits de l’entreprise RSA, les réactions avaient abouti à une réévaluation complète du processus. Les experts engagés à ce moment par la Maison Blanche avaient alors insisté sur le besoin d’une attitude plus défensive, mais les changements apportés avaient eux aussi été classifiés.

Par une source ayant anciennement travaillé pour la Maison Blanche, Reuters précise que la question de la temporalité demeure sans réponse. Selon l’ancien responsable, on peut estimer « raisonnablement » que dans les 91 % de failles dont les informations sont communiquées, la majorité a déjà été utilisée pour capter des données. Autre point intéressant, cette « immense majorité » des failles comprend toutes les vulnérabilités achetées directement auprès de certains acteurs.

Le marché trouble des failles de sécurité

Cet élément est crucial. Il rappelle l’existence du marché gris sous-jacent de la sécurité, dans lequel les failles de sécurité se monnayent parfois au prix fort. À titre d’exemple, la société de sécurité Zerodium, spécialisée dans la traque des failles, offrait récemment un million de dollars à toute équipe de hackers qui réussirait à pirater à distance un iPhone à jour (iOS 9.1 ou 9.2 bêta) à l’aide de Safari, Chrome, un SMS ou un MMS. Dans un tweet daté du 2 novembre, Zerodium annonçait que le concours était terminé. Mais cette entreprise ne partage pas nécessairement ses informations avec les sociétés concernées, et son fondateur, Chaouki Bekrar, a indiqué à Wired le jour-même qu’il n’était pas prévu de fournir les informations à Apple pour le moment. Le cas rappelle le type d’investissement qui peut être fait pour une ou plusieurs failles, tout comme l’aspect trouble qui recouvre certaines activités : que deviennent ces informations ?

Autre exemple, celui de la Navy. Il y a quelques mois, une offre publique avait le mérite d’être particulièrement claire : l’armée américaine cherchait à acquérir des failles de sécurité de type 0-day. L’annonce, publiée comme les autres dans l’objectif d’attirer les éventuelles entreprises intéressées avait été promptement retirée juste après avoir été repérée par l’EFF. Les failles 0-day sont considérées comme de véritables armes dans la cyberguerre et offrent l’avantage indéniable de ne pas être encore corrigées lors de leur utilisation. Souvent, ni l’éditeur concerné ni les utilisateurs ne sont au courant de son existence.

De fait, la communication de la NSA vise sans doute à restaurer un certain niveau de confiance, au moins pour faire accepter l’idée que, dans le fond, « on n’a rien sans rien ». Mais l’agence ne répond pas aux questions posées depuis les premières révélations d’Edward Snowden, et elle ne le fera pas : ces informations sont classifiées. Sa seule capacité de communication réside dans la publication de chiffres sans réelle importance, et que l’on peut donc mettre en avant.

23
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Technique contre marketing

17:36 Soft 3
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

Q-Doliprane sur demande

16:10 HardScience 3
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

De qui ? Quand ? Comment ?

12:00 DroitSécu 10

Sommaire de l'article

Introduction

91 % : le gros chiffre

« un Internet ouvert, interopérable, sécurisé et fiable »

La grande question du « Quand ? »

Le marché trouble des failles de sécurité

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 3
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 3
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 10

En ligne, les promos foireuses restent d’actualité

DroitWeb 13

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 25
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 8
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 68

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 22
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 19

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 96
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 21
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Station spatiale internationale 1998

Il y a 25 ans, l’assemblage de la Station spatiale internationale débutait

Science 2

Fusée Vega : Avio perd deux réservoirs et les retrouve… dans une décharge

Science 19

Drapeaux de l’Union européenne

RGPD : la Cour de justice de l‘UE précise les modalités des amendes

Droit 6

Amazon re:Invent

Les gênantes hallucinations et fuites d’information de Q, le chatbot d’Amazon

IA 3

Une table ronde de la réserve cyber de la gendarmerie consacrée aux cybermenaces pour le secteur agroalimentaire et les agriculteurs

Une exploitation agricole sur cinq victime d’une cyberattaque

ÉcoSécu 3

Commentaires (23)


Dreamer92 Abonné
Hier à 13h54

Avant ou après avoir été exploitées ? Et contre qui ?


latlanh
Hier à 15h15






news a écrit :

soit la NSA en gardait les détails pour ses propres besoins.


Rassurant! <img data-src=" />



Reznor26
Hier à 15h25

En même temps dans “services secrets” le deuxième mot n’est pas là pour rien.


DahoodG4
Hier à 15h32

[/quote]“L’agence insiste largement sur ce processus d’évaluation[/quote]

As-t-on encore besoin de la faille :
A. Oui, on se la garde sous le coude autant que faire se peut.
B. Non, on peut la revendre, et si personne en veut, on la file gratos.


Terrion
Hier à 15h39

faille américaine = on en parle, faille international = on garde :P
&nbsp;


linkin623 Abonné
Hier à 15h46






Reznor26 a écrit :

En même temps dans “services secrets” le deuxième mot n’est pas là pour rien.


+1 !

C’est le jeu maintenant, et surement depuis plusieurs années. Celui qui possèdent les infos sur une faille, et sait comment l’utiliser, détient un avantage sur sa cible.

Bref, la NSA communique, pourquoi pas, mais ça change rien à leur travail, et à l’espionnage que nous subissons.



Vilainkrauko Abonné
Hier à 15h53

Et moi j’affirme que le monstre du loch ness existe bien : j’en ais fait une photo !!!


Ce genre de communication, compte tenu de la source, me fait doucement rigoler <img data-src=" />


Ami-Kuns Abonné
Hier à 16h13






Vilainkrauko a écrit :

Et moi j’affirme que le monstre du loch ness existe bien : j’en ais fait une photo !!!


Ce genre de communication, compte tenu de la source, me fait doucement rigoler <img data-src=" />




Tu as eu son autorisation, le procès risque d’être salée, on rigole pas avec le droit à l’image.<img data-src=" /><img data-src=" />



Ricard
Hier à 16h29

Comment croire ne serait-ce qu’une seconde la NSA ? <img data-src=" />


anonyme_5308cee4763677866e1421efa4474f79
Hier à 16h35

Toutes les agences de sécurité font la même chose, idem en Russie où les hackers plus ou moins affiliés aux agences gouvernementales font parler d’eux.


Vin Diesel Abonné
Hier à 17h01






Crysalide a écrit :

Toutes les agences de sécurité font la même chose, idem en Russie où les hackers plus ou moins affiliés aux agences gouvernementales font parler d’eux.


Ah, je regrette mais l’ANSSI française ne “s’amuse” pas à ce genre de petit jeu&nbsp;&nbsp; …&nbsp;&nbsp; ce serait même plutôt l’inverse = elle travaille pour contrer au maximum les intrusions en tout genre des hackers .



OlivierJ Abonné
Hier à 19h05






Vin Diesel a écrit :

Ah, je regrette mais l’ANSSI française ne “s’amuse” pas à ce genre de petit jeu&nbsp;&nbsp; …&nbsp;&nbsp; ce serait même plutôt l’inverse = elle travaille pour contrer au maximum les intrusions en tout genre des hackers .


Tu n’en sais absolument rien, en fait.
(mais on est d’accord que l’ANSSI travaille à contrer les intrusions).
Et quand je lis “agence gouvernementale” dans le commentaire de Crysalide, je ne pense pas spécialement à l’ANSSI, mais plutôt à d’autres au fonctionnement plus secret.



choukky Abonné
Hier à 19h59

Les 9% restantes, difficilement décelables par le trou-duc averti sont répertoriées et exploitées pour votre sécuritay. <img data-src=" />


RaoulC
Hier à 20h40






Ricard a écrit :

Comment croire ne serait-ce qu’une seconde la NSA ? <img data-src=" />


Ben en même temps pour le coup j’aurais tendance à y croire.
Qu’ils aident des entreprises US a se protéger, c’est dans l’intêret des US.

Et le pourcentage restant ils font des trucs comme Stuxnet ou Flame :)



WereWindle
Hier à 07h44






choukky a écrit :

Les 9% restantes, difficilement décelables par le trou-duc averti sont répertoriées et exploitées pour votre sécuritay. <img data-src=" />


C’est un peu ce que je me disais aussi… 9% (de combien ?) de dangers potentiels supplémentaires qui pourraient être évités. <img data-src=" />



Vincent a écrit :

récupérer des renseignements essentiels sur une puissance étrangère qui pourraient bloquer une tentative d’attaque terroriste, se défendre contre en vue de faciliter le vol de propriété intellectuelle


FTFY <img data-src=" />



ElanViolet Abonné
Hier à 09h02

Soyons mauvaise langue.

Sur les 91% communiquées aux entreprises, combien de failles les entreprises ont interdiction de corriger?


MuadJC
Hier à 10h17

91%. Pas assez. Et l’excuse de “l’entreprise était au courant” ne tient pas: ça resterait une communication. Donc les 9% sont du secret pur et simple.


MuadJC
Hier à 10h18






Ami-Kuns a écrit :

le procès risque d’être salée,

Pourtant elle vit dans un lac… <img data-src=" />



OlivierJ Abonné
Hier à 10h21






ElanViolet a écrit :

Soyons mauvaise langue.

Sur les 91% communiquées aux entreprises, combien de failles les entreprises ont interdiction de corriger?


Ça n’aurait aucun sens si tu réfléchis à la question.



Ami-Kuns Abonné
Hier à 10h59

Le lac serait relié aux océans, pour aller s’amuser.<img data-src=" />


MuadJC
Hier à 12h58






ElanViolet a écrit :

Sur les 91% communiquées aux entreprises, combien de failles les entreprises ont interdiction de corriger?



OlivierJ a écrit :

Ça n’aurait aucun sens si tu réfléchis à la question.

Ou vu différemment, elles deviendraient des fonctionnalités.



Nerkazoid
Hier à 18h47

La NSA a une obligation de moyens et/ou de résultats??? <img data-src=" />


jmm Abonné
Hier à 10h19

Vu le 11 Septembre, je dirais qu’elle a une obligation de moyens, mais pas de résultat.