Amnesia:33 : 33 failles qui impactent « des millions d’objets connectés »

Winderly a dit:

Les objets connectés utilisant des libraires concurrentes et/ou propriétaires seraient plus sécure ? Vraie question.

TLR
Le problème; ce n’est pas les librairies ce sont les gens. Plusieurs constats depuis des décades. Cela n’est pas seulement valable pour l’IOT. Hélas non.

Le code officiel (ou estampillé) a une tendance à stagner (ex kernel windows) et surtout à ne plus être soumis à des audits réguliers.
Conséquence:

• Potentielle faille vielle de 30 piges (ex : scp )


• Ne suit pas très bien les évolutions. Seul résistent les “atomes” dans le sens ou on ne peut pas descendre plus bas (ex: ls ) et les plus simple.

Le code ‘communautaire’ a une tendance à bouger (trop?)
Conséquence

• Potentiel problème comme celui d’un module NPM repris puis “détourné” pour en faire un “farmer à bitcoin”. Sinon pire.


• Obsolescence/changement rapide (ex react-native-camera vs expo-camera) et tout le monde ne suit pas. Ce qui amène à une panoplie d’applications jetables et donc force à réinventer la soupe constament (ou trouver des contournement à ces changements pénalisant). En plus cela produit les mêmes cycles de maturation avec évidement ses problèmes de sécurité. Ce qui bien entendu sont les grosses tâches dans le décor quand on essaie de faire un truc intelligent.

Et pour autant on n’a toujours les mêmes arguments débiles du genre: L’open source tout le monde peut relire le code”. Sauf qu’il n’y a pas grand monde qui le fait ou que personne ne le certifie. C’est à dire que seules des boites qui font de l’audit sécurité vont le faire pour leurs clients ou en mode “chasseur de prime”. Nulle part je ne lis qu’un module NPM (ou d’une autre crèmerie) a été certifié comme sûr par un X ou Y. Aucune de ces crèmeries n’a intérêt à en parler. On joue plutôt à étouffer les affaires.

L’incident cité plus haut nous a montré que c’est bel et bien un vaste foutage de gueule. Virer un module ne permet pas de garantir la sécurité des autres modules. Plouf… Et encore moins de mettre des systèmes en place pour travailler sur le sujet. Pour ça il faut embaucher du monde… Ça coûte un peu.

Bref dans les deux mouture de code c’est simplement une expression du même problème humain : flemme, coder avec les pied pour avant hier, suivi, maintenance, libre (sans garantie) etc. Et éventuellement trouver les failles via des moyens nouveaux.

Il est évident qu’il faudrait un organe permettant de s’occuper du sujet.
Voyons qui:

• Les entreprises… compte pas la dessus. Elles ne veulent pas s’en occuper pour simplement ne jamais avoir à admettre qu’une des libs qu’elle utilisent sont foireuses et que donc leur produit aussi. Et puis dans ce cas les assureurs s’invitent dans les réunions.


• Les communautaires… pareil. Mais sans le pognon qui évidement leur fait souvent défaut. et on peut leur ajouter le 3eme point qui suit.


• Les individus… Problème de certification et de confiance. Qui dit qu’on faire confiance à un gars non identifié physiquement ? Qui dit qu’il est apte ? Même s’il a envie de sauver le monde à lui tout seul (parce qu’il est “from the internets”). L’envie ne fait pas le paladin.

Le seul niveau pertinent aujourd’hui est au niveau de l’état. Non pas pour interdire mais pour au moins estampiller avec un tampon un peu comme pour l’alimentaire. Il y a des problème mais au moins permet au public d’obtenir une centralisation de l’information et si possible bien vérifiée.

Aujourd’hui si on prend github et consort on voit bien que ce qui est mis en avant par les fichiers “README” ce n’est pas la certification sécurité mais plutôt le nombre de DL et j’en passe. Y compris pour des boites comme M$.

Le seul moment ou elles s’en occupent c’est parce que cela les menace directement. Autrement le bulletin de GitHub on ne le voit jamais. Et encore c’est plus pour te dire que tu devrais utiliser des libs plus récentes. En gros cela ne s’appelle pas de la sécu.

Il y a bien une ou deux initiatives par ci par la. Mais rien de global permettant de couvrir efficacement les différents sujets.

Le plus triste dans cette affaire c’est que c’est le monde de l’industrie qui par ces méthodes qu’elle applique et que les communautaires copient bien souvent fait aboutir à ce genre de chose.

On en est même pas à une prise de conscience concertée.