La NSA affirme que 91 % des failles découvertes font l'objet d'une communication

La NSA affirme que 91 % des failles découvertes font l’objet d’une communication

Oui, mais quand ?

23

La NSA affirme que 91 % des failles découvertes font l'objet d'une communication

La NSA a communiqué récemment au sujet de sa gestion des failles de sécurité. Elle y explique que 91 % de brèches découvertes font l’objet d’une communication à l’éditeur ou au constructeur pour qu’elles soient colmatées. Mais l’agence de sécurité américaine masque de très importantes informations manquantes.

Il y a environ une semaine, la NSA a publié sur son site officiel une infographie pour communiquer sur un sujet qui a créé une vraie polémique : les failles de sécurité. Les documents dérobés par Edward Snowden montraient clairement que l’agence de sécurité cherchait à en récupérer par tous les moyens, les accumulant pour les exploiter au lieu d’en expédier les détails aux entreprises concernées. La NSA était notamment accusée de fragiliser les fondations d’Internet en gardant sous réserve des informations pouvant provoquer de vraies crises de sécurité.

91 % : le gros chiffre

La NSA est parfaitement au fait de l’aura de scandale qui entoure cette activité. Dans son infographie, elle donne une statistique importante : plus de 91 % des failles découvertes (sur un total non précisé) font l’objet d’une communication aux entreprises, qui peuvent donc les corriger une fois qu’elles ont les détails. L’agence explique qu’il s’agit d’une partie importante de son travail puisque le colmatage des vulnérabilités participe de la sécurité nationale.

Chaque fois qu’une faille est découverte, elle transite à travers un processus interne d’évaluation. Ce n’est qu’au bout de ce dernier qu’il est décidé si la faille sera révélée à l’entreprise ou non. Les 9 % qui restent répondent à deux cas de figure : soit l'entreprise concernée était déjà au courant et avait corrigé la faille, soit la NSA en gardait les détails pour ses propres besoins.

nsa failles

« un Internet ouvert, interopérable, sécurisé et fiable »

L’agence insiste largement sur ce processus d’évaluation et sur le soin qu’elle porte à peser le pour et le contre de chaque situation. Elle explique ainsi qu’en cas de révélation de la faille, des opportunités peuvent être manquées : récupérer des renseignements essentiels sur une puissance étrangère qui pourraient bloquer une tentative d’attaque terroriste, se défendre contre le vol de propriété intellectuelle.

De fait, elle espère que le message sera clair pour tout le monde : « Le gouvernement américain prend au sérieux son engagement pour un Internet ouvert, interopérable, sécurisé et fiable. Dans la vaste majorité des cas, dévoiler de manière responsable une vulnérabilité nouvellement découverte est clairement dans l’intérêt national. Nous nous appuyons tous sur Internet et des systèmes connectés pour une bonne partie de notre quotidien. De plus, notre économie ne fonctionnerait pas sans eux. Pour ces raisons, révéler les vulnérabilités a généralement du sens. Mais il y a des pours et des contres légitimes dans la décision de les révéler, et les inconvénients entre les révélations rapides la conservation de connaissances sur certaines failles pendant un temps limité peut avoir des conséquences significatives ».

La NSA veut évidemment redorer son blason en rappelant que son activité ne tourne pas uniquement autour de l’espionnage et du renseignement. Il est clair que l’agence participe pleinement à la sécurité du pays et que ses missions sont diverses. Elle intervient par exemple de manière consultative sur les protocoles de sécurité. Mais le passage par les ingénieurs de la NSA est par contre obligatoire dès lors qu’un produit lié à la sécurité peut être utilisé par l’une des multiples administrations et instances du gouvernement.

La grande question du « Quand ? »

Pour autant, les informations données par la NSA dans sa communication sont très partielles et des zones d’ombre importantes subsistent. Par exemple, elle insiste sur le chiffre des 91 %, mais elle ne dit à aucun moment si ces failles ont été utilisées de manière active avant qu’il soit envisagé d’en partager les détails avec l’éditeur ou le constructeur concerné. Certes, elle aborde le caractère « rapide » de ces partages, mais sans aucune liste ou statistique précise, il est impossible de savoir ce qu’elle fait réellement de ces informations, ni de la hâte avec laquelle elle s’empresse de vouloir rendre service.

Un article de Reuters plonge justement dans cette obscurité en rappelant combien le processus d’examen des failles demeure secret, tous les détails en étant classifiés. Quand les documents de Snowden avaient montré en septembre 2013 comment la NSA introduisait des failles de sécurité dans certains produits de l’entreprise RSA, les réactions avaient abouti à une réévaluation complète du processus. Les experts engagés à ce moment par la Maison Blanche avaient alors insisté sur le besoin d’une attitude plus défensive, mais les changements apportés avaient eux aussi été classifiés.

Par une source ayant anciennement travaillé pour la Maison Blanche, Reuters précise que la question de la temporalité demeure sans réponse. Selon l’ancien responsable, on peut estimer « raisonnablement » que dans les 91 % de failles dont les informations sont communiquées, la majorité a déjà été utilisée pour capter des données. Autre point intéressant, cette « immense majorité » des failles comprend toutes les vulnérabilités achetées directement auprès de certains acteurs.

Le marché trouble des failles de sécurité

Cet élément est crucial. Il rappelle l’existence du marché gris sous-jacent de la sécurité, dans lequel les failles de sécurité se monnayent parfois au prix fort. À titre d’exemple, la société de sécurité Zerodium, spécialisée dans la traque des failles, offrait récemment un million de dollars à toute équipe de hackers qui réussirait à pirater à distance un iPhone à jour (iOS 9.1 ou 9.2 bêta) à l’aide de Safari, Chrome, un SMS ou un MMS. Dans un tweet daté du 2 novembre, Zerodium annonçait que le concours était terminé. Mais cette entreprise ne partage pas nécessairement ses informations avec les sociétés concernées, et son fondateur, Chaouki Bekrar, a indiqué à Wired le jour-même qu’il n’était pas prévu de fournir les informations à Apple pour le moment. Le cas rappelle le type d’investissement qui peut être fait pour une ou plusieurs failles, tout comme l’aspect trouble qui recouvre certaines activités : que deviennent ces informations ?

Autre exemple, celui de la Navy. Il y a quelques mois, une offre publique avait le mérite d’être particulièrement claire : l’armée américaine cherchait à acquérir des failles de sécurité de type 0-day. L’annonce, publiée comme les autres dans l’objectif d’attirer les éventuelles entreprises intéressées avait été promptement retirée juste après avoir été repérée par l’EFF. Les failles 0-day sont considérées comme de véritables armes dans la cyberguerre et offrent l’avantage indéniable de ne pas être encore corrigées lors de leur utilisation. Souvent, ni l’éditeur concerné ni les utilisateurs ne sont au courant de son existence.

De fait, la communication de la NSA vise sans doute à restaurer un certain niveau de confiance, au moins pour faire accepter l’idée que, dans le fond, « on n’a rien sans rien ». Mais l’agence ne répond pas aux questions posées depuis les premières révélations d’Edward Snowden, et elle ne le fera pas : ces informations sont classifiées. Sa seule capacité de communication réside dans la publication de chiffres sans réelle importance, et que l’on peut donc mettre en avant.

Commentaires (23)


Avant ou après avoir été exploitées ? Et contre qui ?








news a écrit :



soit la NSA en gardait les détails pour ses propres besoins.





Rassurant! <img data-src=" />



En même temps dans “services secrets” le deuxième mot n’est pas là pour rien.


[/quote]“L’agence insiste largement sur ce processus d’évaluation[/quote]



As-t-on encore besoin de la faille :

A. Oui, on se la garde sous le coude autant que faire se peut.

B. Non, on peut la revendre, et si personne en veut, on la file gratos.


faille américaine = on en parle, faille international = on garde :P

&nbsp;








Reznor26 a écrit :



En même temps dans “services secrets” le deuxième mot n’est pas là pour rien.





+1 !



C’est le jeu maintenant, et surement depuis plusieurs années. Celui qui possèdent les infos sur une faille, et sait comment l’utiliser, détient un avantage sur sa cible.



Bref, la NSA communique, pourquoi pas, mais ça change rien à leur travail, et à l’espionnage que nous subissons.



Et moi j’affirme que le monstre du loch ness existe bien : j’en ais fait une photo !!!





Ce genre de communication, compte tenu de la source, me fait doucement rigoler <img data-src=" />








Vilainkrauko a écrit :



Et moi j’affirme que le monstre du loch ness existe bien : j’en ais fait une photo !!!





Ce genre de communication, compte tenu de la source, me fait doucement rigoler <img data-src=" />









Tu as eu son autorisation, le procès risque d’être salée, on rigole pas avec le droit à l’image.<img data-src=" /><img data-src=" />



Comment croire ne serait-ce qu’une seconde la NSA ? <img data-src=" />


Toutes les agences de sécurité font la même chose, idem en Russie où les hackers plus ou moins affiliés aux agences gouvernementales font parler d’eux.








Crysalide a écrit :



Toutes les agences de sécurité font la même chose, idem en Russie où les hackers plus ou moins affiliés aux agences gouvernementales font parler d’eux.





Ah, je regrette mais l’ANSSI française ne “s’amuse” pas à ce genre de petit jeu&nbsp;&nbsp; …&nbsp;&nbsp; ce serait même plutôt l’inverse = elle travaille pour contrer au maximum les intrusions en tout genre des hackers .









Vin Diesel a écrit :



Ah, je regrette mais l’ANSSI française ne “s’amuse” pas à ce genre de petit jeu&nbsp;&nbsp; …&nbsp;&nbsp; ce serait même plutôt l’inverse = elle travaille pour contrer au maximum les intrusions en tout genre des hackers .





Tu n’en sais absolument rien, en fait.

(mais on est d’accord que l’ANSSI travaille à contrer les intrusions).

Et quand je lis “agence gouvernementale” dans le commentaire de Crysalide, je ne pense pas spécialement à l’ANSSI, mais plutôt à d’autres au fonctionnement plus secret.



Les 9% restantes, difficilement décelables par le trou-duc averti sont répertoriées et exploitées pour votre sécuritay. :oui2:








Ricard a écrit :



Comment croire ne serait-ce qu’une seconde la NSA ? <img data-src=" />





Ben en même temps pour le coup j’aurais tendance à y croire.

Qu’ils aident des entreprises US a se protéger, c’est dans l’intêret des US.



Et le pourcentage restant ils font des trucs comme Stuxnet ou Flame :)









choukky a écrit :



Les 9% restantes, difficilement décelables par le trou-duc averti sont répertoriées et exploitées pour votre sécuritay. :oui2:





C’est un peu ce que je me disais aussi… 9% (de combien ?) de dangers potentiels supplémentaires qui pourraient être évités. <img data-src=" />







Vincent a écrit :



récupérer des renseignements essentiels sur une puissance étrangère qui pourraient bloquer une tentative d’attaque terroriste, se défendre contre en vue de faciliter le vol de propriété intellectuelle





FTFY <img data-src=" />



Soyons mauvaise langue.



Sur les 91% communiquées aux entreprises, combien de failles les entreprises ont interdiction de corriger?


91%. Pas assez. Et l’excuse de “l’entreprise était au courant” ne tient pas: ça resterait une communication. Donc les 9% sont du secret pur et simple.








Ami-Kuns a écrit :



le procès risque d’être salée,



Pourtant elle vit dans un lac… <img data-src=" />









ElanViolet a écrit :



Soyons mauvaise langue.



Sur les 91% communiquées aux entreprises, combien de failles les entreprises ont interdiction de corriger?





Ça n’aurait aucun sens si tu réfléchis à la question.



Le lac serait relié aux océans, pour aller s’amuser.<img data-src=" />








ElanViolet a écrit :



Sur les 91% communiquées aux entreprises, combien de failles les entreprises ont interdiction de corriger?







OlivierJ a écrit :



Ça n’aurait aucun sens si tu réfléchis à la question.



Ou vu différemment, elles deviendraient des fonctionnalités.



La NSA a une obligation de moyens et/ou de résultats??? <img data-src=" />


Vu le 11 Septembre, je dirais qu’elle a une obligation de moyens, mais pas de résultat.


Fermer