Tout le but de divulgation des vulnérabilités consiste à informer les développeurs de logiciels des failles de leur code afin qu’ils puissent créer des correctifs ou des correctifs et améliorer la sécurité de leurs produits. Mais après 17 ans et plus de 10 000 divulgations de vulnérabilités, la Zero Day Initiative dénonce une “tendance inquiétante” lors de la conférence sur la sécurité Black Hat à Las Vegas aujourd’hui et annonce un plan pour appliquer une certaine contre-pression.
ZDI, qui appartient à la société de sécurité Trend Micro depuis 2015, est un programme qui achète les découvertes de vulnérabilités aux chercheurs et gère la divulgation aux fournisseurs. En échange, Trend Micro, qui fabrique un outil antivirus et d’autres produits de défense, obtient une mine d’informations et de télémétrie qu’il peut utiliser pour suivre les recherches et, espérons-le, protéger ses clients. Le groupe estime avoir traité environ 1 700 divulgations jusqu’à présent cette année. Mais ZDI dit que d’un point de vue d’oiseau, la qualité des correctifs des fournisseurs a globalement baissé ces dernières années.
De plus en plus souvent, le groupe achète un bogue à un chercheur, il est corrigé, et peu de temps après, ZDI achète un autre rapport sur la façon de contourner le correctif, parfois avec plusieurs séries de correctifs et de contournement. ZDI dit également avoir remarqué une tendance inquiétante des entreprises à divulguer des informations moins spécifiques sur les vulnérabilités dans leurs alertes de sécurité publique, ce qui rend plus difficile pour les utilisateurs du monde entier d’évaluer la gravité d’une vulnérabilité et de formuler une priorisation des correctifs – une réelle préoccupation pour les grandes institutions. et les infrastructures critiques.
« Au cours des dernières années, nous avons vraiment remarqué que la qualité des correctifs de sécurité a sensiblement diminué », déclare Dustin Childs, membre du ZDI. “Il n’y a aucune responsabilité pour avoir des correctifs incomplets ou défectueux.”
Les chercheurs de ZDI disent que les mauvais correctifs se produisent pour diverses raisons. Déterminer comment corriger les failles logicielles peut être un processus nuancé et délicat, et parfois les entreprises manquent d’expertise ou n’ont pas fait l’investissement nécessaire pour générer des solutions élégantes à ces problèmes importants. Les organisations peuvent se précipiter pour fermer les rapports de bogues et effacer leur ardoise et peuvent ne pas prendre le temps nécessaire pour effectuer une analyse des «causes profondes» ou des «variantes» et évaluer les problèmes sous-jacents afin que les problèmes plus profonds puissent être résolus de manière globale.
Quelle que soit la raison, les mauvais correctifs sont une réelle préoccupation. Fin juin, l’équipe de recherche de bogues Project Zero de Google a signalé que parmi les nouvelles vulnérabilités exploitées dans la nature qu’elle a suivies jusqu’à présent en 2022, au moins la moitié sont des variantes de failles précédemment corrigées.
“Une combinaison de choses au fil du temps nous a amenés à croire que nous avons en fait un problème plus grave que la plupart des gens ne le pensent”, explique Brian Gorenc, qui dirige ZDI.
Comme d’autres organisations fortement impliquées dans la divulgation, y compris Project Zero, ZDI donne aux développeurs un délai pour combien de temps ils doivent publier un correctif avant que les détails sur la vulnérabilité en question ne soient publiés publiquement. Le délai standard de ZDI est de 120 jours à compter de la divulgation. Mais en réaction à l’épidémie de mauvais correctifs, le groupe annonce aujourd’hui une nouvelle série de délais pour les bugs qui ont été précédemment corrigés.
En fonction de la gravité de la faille, de la facilité avec laquelle il est possible de contourner le correctif et de la probabilité que ZDI pense que la vulnérabilité sera exploitée par des attaquants, le groupe fixera désormais des délais de 30 jours pour les failles critiques, 60 jours pour les bogues. lorsque le correctif existant offre une certaine protection, et 90 jours pour tous les autres cas. Cette décision s’inscrit dans la tradition d’utiliser la divulgation publique comme un levier important – l’un des rares dont disposent les partisans de la sécurité – pour stimuler les améliorations nécessaires dans la manière dont les développeurs gèrent les failles logicielles à enjeux élevés susceptibles d’avoir un impact sur les utilisateurs du monde entier.
“La militarisation des correctifs défaillants dans diverses vulnérabilités est absolument utilisée à l’état sauvage en ce moment”, déclare Childs de ZDI. “C’est un vrai problème qui a des conséquences réelles pour l’utilisateur, et nous essayons d’inciter les fournisseurs à bien faire les choses du premier coup.”
