Actu
CERT-XMCO : La sécurité, un monde en pleine mutation
novembre 2010 par CERT-XMCO
* Barracuda Networks Launches Bug Bounty Program
– Date : 09 Novembre 2010
– Gravité : Moyenne
– Description :
Alors que Google et Mozilla ont déjà initié, depuis quelque temps, leurs programmes respectifs de récompenses, deux informations parues aujourd’hui viennent mettre en avant les évolutions survenant depuis quelque temps dans le domaine de la sécurité.
Pour rappel, Google, tout comme Mozilla, offre des récompenses aux chercheurs auteurs de découvertes importantes dans le domaine de la sécurité. Comme cela a été explicité il y a peu de temps par Google lorsqu’il a autorisé les internautes à "attaquer" ses applications Internet (voir CXA-2010-0924), les chercheurs peuvent obtenir, sous certaines conditions, une récompense pour leur travail. L’idée défendue par Google et Mozilla est de récompenser les personnes ayant aidé les développeurs à fournir à la communauté un outil plus sécurisé. En général, plus une faille est critique et complexe à exploiter, plus la récompense est importante. Celle-ci peut aller jusqu’à 3000 dollars pour Mozilla, voir jusqu’à 3133,7 dollars pour Google.
Google a d’ailleurs étendu récemment le périmètre de l’autorisation accordée aux chercheurs en les autorisant à s’attaquer à de nombreuses applications Internet, en plus de son navigateur Google Chrome (voir CXA-2010-1509)...
Aujourd’hui, c’est au tour du fabricant Baracuda Networks de lancer son programme de récompense. Celui-ci est l’auteur de solutions de sécurité liées à la gestion des courriels, ainsi qu’à la protection des données. D’après la société, la récompense minimale sera de 500 dollars, et pourra aller jusqu’aux 3133,7 dollars offerts par Google dans le cas de vulnérabilités très critiques. Les solutions que les chercheurs peuvent auditer sont les suivantes : "Spam Firewall", "Virus Firewall", "Web Filter", "Web Application Firewall" et enfin "NG Firewall". Néanmoins, l’éditeur impose certaines contraintes aux chercheurs voulant être "payés" pour leur travail. Ceux-ci ne sont entre autres pas autorisés à rendre publique leur découverte avant que Baracuda n’ait publié de correctif. Les failles éligibles sont, quant à elle, celles permettant de compromettre la confidentialité des informations, la disponibilité de la solution, l’intégrité des données, ou encore de contourner le processus d’authentification. Cet éventail plutôt large permettra donc au chercheur de rechercher des failles du type "exécution de code", "élévation de privilèges", "Cross-Site Scripting" (XSS)...
D’après Baracuda Networks, cette initiative vise à responsabiliser les chercheurs en les poussant à opter pour le "Responsible Disclosure" (RD) prôné entre autres par Microsoft. En effet, de nombreux chercheurs optent par défaut pour le "Full-Disclosure" (FD) qui consiste à publier l’ensemble des informations relatives à une vulnérabilité.
Pour rappel, Microsoft, ainsi que d’autres vendeurs de logiciels avaient intenté un procès médiatique au chercheur Tavis Ormandy (Google), ainsi qu’au "Full Disclosure", à la suite de la publication d’une vulnérabilité que Microsoft refusait de corriger "rapidement" (voir CXA-2010-0781). Microsoft avait d’ailleurs réagit en proposant une nouvelle politique de divulgation appelée "Coordinated Vulnerability Disclosure" (CVD) qui ne semble pas avoir été adoptée (encore) par la communauté des chercheurs...
Dans le même temps, un projet français du nom de "Pirate-moi" vient de voir le jour. Celui-ci vise à soumettre une solution logicielle fournie par un "demandeur" aux attaques des chercheurs. Certaines conditions doivent être respectées aussi bien du côté du demandeur que des chercheurs pour mettre en place un logiciel accessible sur Internet, ainsi que pour le "tester". Mais "Pirate moi" est bien entendu soumis à la législation française et doit donc aussi s’assurer de nombreux paramètres juridiques. Au final, les internautes, après avoir accepté le règlement du concours peuvent s’attaquer à la solution afin de gagner un cadeau accordé au "pirate" le plus rapide.
Bref, toutes ces annonces montrent que le domaine de la sécurité est en pleine mutation. Les entreprises se reposent plus uniquement sur les connaissances de leurs experts en sécurité pour valider les outils, mais font de plus en plus souvent appel aux compétences des internautes pour effectuer une validation supplémentaire. Il est donc important de rappeler à tous les apprentis chercheurs les risques légaux encourus avant de foncer tête baissée dans des situations qui pourraient leur être défavorables.
– Vulnérable :
http://threatpost.com/en_us/blogs/barracuda-networks-launches-bug-bounty-program-110910
http://www.pirate-moi.com/a-propos
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1509
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0924
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0781
– Lien extranet XMCO Partners :
