Le blocage et la révélation publique d'une cyberattaque particulièrement sophistiquée et impliquant 11 vulnérabilités "0days" (non identifiées par les éditeurs de logiciels, ndlr), a provoqué une controverse au sein de Google. La cyberattaque émanerait en effet d'un service de renseignement allié des États-Unis, révèle la MIT Technology Review.
Google explique que l'équipe de « Project Zero se consacre à la recherche et à la correction des vulnérabilités "0days" et à la publication de recherches techniques conçues pour faire progresser la compréhension des nouvelles vulnérabilités de sécurité et des techniques d'exploitation dans la communauté de recherche ».
« Nous pensons que le partage de cette recherche conduit à de meilleures stratégies défensives et augmente la sécurité pour tous. Nous n'effectuons pas d'attribution dans le cadre de cette recherche. »
L'annonce de Google a toutefois omis de manière flagrante des détails clés, notamment qui était responsable du piratage et qui était ciblé, ainsi que des informations techniques importantes sur le malware ou les domaines utilisés dans l'opération, note le MIT, pour qui Google ne pouvait ignorer que l'opération émanait d'un service de renseignement allié des États-Unis.
Certains employés de Google ont fait valoir que les missions de lutte contre le terrorisme ne devraient pas être rendues publiques ; d'autres pensent que l'entreprise était entièrement dans ses droits et que l'annonce sert à protéger les utilisateurs et à rendre Internet plus sûr.
Sur Twitter, l'opération fait débat : est-il éthique qu'une entreprise privée puisse ainsi mettre un terme à une opération anti-terroriste ? Une « cyber-guerre » peut-elle être brusquement interrompue à cause d'un « Patch Tuesday » ? La communauté du renseignement est-elle plus responsable que Google ? Les internautes devraient-ils être protégés par des services de renseignement ou des sociétés privées ? Corriger une faille 0day exploitée est-il plus bénéfique que l'opération de contre-terrorisme qui l'exploitait ?
Commentaires (27)
#1
Et qu’aurait on dit si ses failles avaient été utilisées conte les intérêts US? A partir du moment où les services secrets utilisent des failles 0 dates il faut bien s’attendre à ce qu’elles soient patchées a un moment donné
#1.1
C’est un débat intéressant !
En effet on peut se demander, les US rechignent pas quand les GAFAM ferment une faille utilisée par la Chine ou les Russes, Disons qu’ils semblent attendre des GAFAM US d’être “loyaux” envers les US.
Ils nieront être au courant de la faille ainsi que l’opération et on le saura beaucoup plus tard.
Après c’est plutôt un débat de loyauté ici, on sait que les GAFAM US sont plus ou moins obligé d’obtempérer face aux services de renseignements US, partant de ce principe c’est pas étonnant que l’état se plaigne que des sociétés de son propre pays l’embête.
Faudrait pas perdre de vue que les GAFAM sont pas des chevaliers blancs indépendant, que google teste ses muscle sur cette actu c’est une chose, qu’ils soient tenu aux respects des “ordres” des services US est une autre réalité.
La vrai question c’est ; Google est il si gros qu’il peut s’affranchir de l’état Américain et agir en acteur isolé non lié à un état ?
#2
C’est toujours pareil, à partir du moment où tu commences par rajoute une exception, ça sous-entends qu’il peut et donc qu’il va y en avoir d’autres. Qui place la ligne ?
Et si ces mêmes failles sont demains exploitées pour autre chose que de la lutte anti-terrorisme, au hasard pour bloquer un hôpital, et qu’on apprend que Google était au courant, ils diront quoi ceux se plaignent aujourd’hui ?
Pour Google c’est la décision la plus rationnelle à mon avis.
#3
Mais en l’occurrence, c’est à la communauté de chercheurs, enfin une partie, et a certains Googlers que cela semble poser problème.
L’argument dans un des tweets :
Pour moi cette critique n’a pas de sens, n’importe qui aurait pu corriger/détecter des failles et donc “interférer” avec cette opération d’État. Si un gars lambda pousse un PR sur un projet open source pour corriger une faille sur un logiciel utilisé en partie par des terroristes, qui pourrait y trouver à redire ? Sans doute qu’on en parlerait même pas. C’est pas comme si Google avait aidé le projet OpenTerrorism…
Et enfin, les petites mains des cyber-agences gouvernementales doivent jongler tous les jours avec des failles qui sont malheureusement pour eux corrigées. Le jeu du chat et de la souris fonctionne dans tous les sens.
#3.1
merci pour ces 2 commentaire pleins de bon sens.
comment peut-on argumenter en faveur du maintient d’une faille exploitée ?
quand elle est exploitée, ça veut dire qu’elle peut l’être par “tout le monde”
#3.2
En effet peut être que pour ces chercheurs c’est une question “d’éthique” la recherche doit elle se mettre en “sourdine” si la découverte peut entrainer plus d’effets négatifs que positifs. En corolaire comment mesurer les dit effets ?
On retombe un peu sur le débat du chiffrement, bon pour tous ou mauvais car il permet d’aider des personnes mal intentionnée, ça rappel le débat au sein de l’ANSSI qui pousse pour plus de chiffrement malgré tout.
#3.3
C’est tout à fait ça.
Et en recherche les questions d’éthique sont omniprésentes et se doivent d’être posées. La question trouve difficilement une réponse simple…
Il existe d’ailleurs un Comité Consultatif Nationnal d’Ethique qui donne ses rapports avec des recommandations et des avis.
A noter qu’un comité d(éthique ne donne jamais de conclusions tranchées, uniquement des avis, souvent nuancés avec des pour et contre.
Ici par exemple une solution intermédiaire aurait pu être de laisser les autorités en question “finir” (au même titre qu’on termine la phrase qu’on est en train d’écrire en fin d’exam ahah) d’exploiter la-dite faille et la corriger juste après.
Quelle était la meilleure option ? Pas sûr qu’il y ait une réponse définitive à cette question…
#3.4
Pour moi, la question d’éthique qui se pose n’est pas du tout celle-là.
Les failles découvertes doivent être corrigées aussi vite que possible, sans se poser de questions, et d’autant plus si on sait qu’elle est exploitée.
Par contre, j’estime que les services de renseignement devraient signaler les failles découvertes aux entreprises concernées ! Ne pas le faire serait un grave problème d’éthique de la part de ces services sensés protéger les personnes !
#3.5
Pourtant si, le problème éthique est bien là :
Schématisons le “problème d’éthique” en question :
Question d’Ethique : est-ce que tu interdit X, et si oui, est-ce que tu permet de sauver A avant ou pas ?
On est sur un dilemme du tramway ou la voie par défaut permet a des gens malveillants d’exploiter X. Et on te permet de pousser le levier pour aller sur une voie qui empêche de lutter contre B (et je parle de “tuer A” comme conséquence, mais bon après on a pas bcp d’infos sur les consequences de ne pas continuer la lutte anti-terri qui a été prévenue, mais dans l’idée voilà)
#3.7
Non, on est très loin du problème du tramway dans notre cas.
Les sociétés n’ont pas à « fournir des failles aux services de renseignement », mais à assurer la sécurité de leurs utilisateurs !
C’est le fait que les services de renseignements utilisent ces failles qui est très discutable…
#3.8
L’origine de l’outil X de ma formalisation ne change en rien la situation décrite.
Certes c’est un sujet de discussion et on pourrait remonter à l’origine de ce qui créer la situation actuelle, mais le fait est que la situation est ce qu’elle est, donc ton argument ne me semble pas recevable pour invalider un dilemme du tramway…
Donc oui, c’est totalement discutable…. mais c’est utilisé. On répond comment du coup ? Renier ce fait ne fait pas avancer la discussion.
#3.9
Si, ça change tout entre un « outil » et une « faille » !
Et de toute façon, c’est stupide de se demander ça, car ce c’est même pas la bonne question…
#3.10
Le dilemne dont il est question ici, traduit en tramway est: pour se débarrasser d’un terroriste qui utilisele tramway, peut-on tuer tous les passagers?
#3.11
l’état français répond oui?
#3.6
Tout à fait d’accord, le problème d’éthique est bien à la racine de cette discussion et il n’y à pas de réponse “franche et claire” c’est pas binaire. Le risque s’apprécie au cas par cas, on parle tout de même de 11 failles 0-day autant dire que suivre toutes ces failles pour vérifier que seul l’institution alliée des état-unis s’en sert semble très très compliqué.
Autant dire quasiment impossible…
C’est un argument à ne pas oublier, s’il est impossible de garantir la sécurité du plus grand nombre par la confidentialité totale de cette opération alors il faut colmater la brèche avant que des personnes mal intentionnées s’en servent.
Imaginons le cas d’une seule faille exploité de manière contrôlée, faille pouvant être assez facilement contrôlée par des outils adéquats. On peut imaginer repousser l’annonce tout en vérifiant qu’il n’y à pas d’autres usagers de cette faille (dans la mesure du possible bien sur).
#4
“opération de contre-terrorisme”
Pratique comme auto-appellation, par exemple l’état islamique pourrait revendiquer faire du contre-terrorisme contre les pays de l’OTAN qui attaquent et tuent dans leurs pays?
#5
Je comprends meme pas pourquoi ils se posent la question ? c’est deux problématiques qui touchent deux domaines différents et on ne devrait pas les confronter, d’un côté on a la technique avec des outils qui sont utiliser en production avec potentiellement des failles qui sont corrige au fil des découverte pour assurer la fiablité de l’outil et de l’autre on a des groupuscules qui utilisent des failles découvertes pour diversent choses (bien ou mal, c’est totalement subjectif d’ailleur).
En aucun cas les utilisateurs de failles quels qu’ils soient ne devraient interférer sur le cycle de maintenance d’un quelconque outils.
#6
Donc il ne s’agit probablement pas de la NSA ou la CIA, mais plutôt du style MI6 ou Mossad.
Si ça se trouve les services nord-coréens utilisent aussi ces failles, donc aucune raison de ne pas les corriger.
#7
Et du coup la question que je me pose, certain se plaigne que Google ai interférer, mais comment Google peut t’il s’avoir que c’est une opération secrete de contre terrorisme, ca aurais très bien pu être une tentative d’espionnage par un allié des US, ou pire un état ennemi se faisait passé pour un allié.
Car les US on bien mis sur écoute la chancelière allemande malgré leur “Alliance”, donc rien n’immunise les US de leur allié (ou leur ennemi qui se font passé pour leur allié), pour moi c’est encore un “non” événement.
Une faille a été détectée, puis corrigée, les chercheurs on fait le boulot pour le quel ils sont payé point barre.
C’est pas comme si il y avais eu une réunion chez Google pour se demandé s’il allais bloqué l’opération.
#8
Je pense que Google ou tout maiteneur de logiciel, n’a pas de leçons à recevoir de la part d’organismes qui se comportent exactement comme n’importe quel pirate en ne divulguant pas les failles dont ils se servent.
J’imagine fort bien qu’il puisse s’agir d’une vengeance de la part de Google suite à la découverte d’une faille utilisée de longue date par des service étatiques et dont la non correction aurait mis Google dans l’embarras. Mais ce n’est qu’une hypothèse.
#9
Le dilemme du tramway est binaire et n’a que 2 choix possibles. Imaginez que votre faille puisse permettre l’attaque de tour de contrôle ou d’une centrale nucléaire et que les services secrets n’ont pas vu ces cas. Dans la réalité certains veulent garder leur joujoux peut importe les concequences car a leur yeux leur actions est plus importante que tout le reste.
#9.1
…ce qui est le cas ici dans une certaine mesure : laisser la faille ou la corriger.
Sachant que pour des raisons évidentes, on pourrait moduler l’option 1 (laisser la faille) à quelque chose plutôt du type “corriger la faille en laissant son usage “positif” se faire en amont”.
Le fait est que l’on ne connaît pas les risques de conséquences de cette faille. On peut donc poser le problème du tramway, mais difficile de trancher en ne connaissant pas le poids exact des 2 options.
Et de façon plus générale, la question éthique de la correction d’une faille vis-à-vis des bénéfices que l’ont peut en tirer est une question qui reste ouverte.. et comme pour toute question d’éthique il faut regarder au cas par cas pour y donner un avis et une réponse toute faite est difficilement envisageable.
#10
Toutes ces questions auront des réponses plus faciles lorsque nous serons en démocratie et pourrons avoir confiance en nos mandatés. Là, dans le doute, je penche pour la correction des failles. Oui voilà, “pour le terrorisme”, si tu veux.
#11
Si la faille avait servi à la Chine (ou la Russie), pas sûr qu’il y ait eu débat…
#11.1
Problème, tu est sure que la Chine ou la Russie n’exploite pas les failles?
#12
Non, pas par tout le monde, seulement par ceux qui en ont connaissance, et qui ont les moyens techniques (et le temps), et l’imprudence de le faire.
#13
Mouais, en fait il faut bien voir qu’ils sont plus efficaces à tuer leurs proches justement. On peut être critique des actions de l’OTAN sans pour autant reprendre les arguments des extrémistes sachant qu’ils sont assez malhonnête dans leur argumentaire.