Services
Le 8 juillet dernier, lorsque Dan Kaminsky a trouvé une faille dans les systèmes DNS, qui sont à la base de l'Internet, il a averti les principaux acteurs, question qu'ils développent des rustines qui régleraient le problème. Son souhait: révéler les secrets de la faille seulement lorsque tous les systèmes seraient sécuritaires. Meilleure chance la prochaine fois!
Kaminsky avait prévu dévoiler les détails de la faille lors d'un conférence qu'il donnera le 6 août, pratiquement un mois après l'annonce de la découverte; le délai aurait du donner le temps aux intervenants d'appliquer les correctifs nécessaires.
C'est alors qu'entrent en jeu plusieurs hackers, qui ont vu la consigne comme un défi, puis une opportunité. On a longtemps spéculé, jusqu'à hier, lorsque Thomas Dullien, le PDG de Zynamics.com, publie sur son blogue une explication plausible de la faille.
À 13h30, douze heures plus tard, Matasano Security, un fabricant de logiciels de sécurité qui avait reçu les explications de Kaminsky a publié sur son blogue corporatif un billet qui expliquait que «le chat est sorti du sac.» Cinq minutes plus tard, les dirigeants de l'entreprise, qui avaient conclu une entente de confidentialité avec Kaminsky, ont retiré le billet.
Le billet a ensuite commencé à circuler, bien que sa copie originale ait été supprimée du site de Motasano.
Quelques instants plus tard, Kaminsky publiait sur son blogue un billet dans lequel on pouvait lire «Corrigez. Aujourd'hui. Maintenant. Mieux vaut tard que jamais. Rediriger vers OpenDNS s'il le faut. (Ils sont prêts pour votre trafic.) Merci à ceux qui l'ont déjà fait.» Pourtant, OpenDNS n'est pas conforme aux standards, puisqu'ils ne retournent pas NXDOMAIN pour les domaines inexistants.
À la découverte de la faille, Kaminsky avait été largement critiqué pour ne pas en avoir divulgué les détails.
par Gabriel Rodrigue
Ce n'est pas le 8 juillet dernier que la faille a été trouvé, mais au mois de mars. Il a averti les principaux acteurs en mars pour qu'ils aient le temps de le régler.
Les gens ont été informé qu'ils devaient mettre à jour leurs systèmes (dépendamment des systèmes) pour régler ce problème le 8 juillet. Donc le 8 juillet, les principaux acteurs avaient déjà pallié au problème.
Les failles de sécurité sont depuis des années communiquées au sein de la communauté infosec et l'écosystème se porte très bien pour autant que l'on maintienne les systèmes à jour et que les éditeurs/constructeurs jouent la transparence en effectuant leur travail de maintenance logicielle (que les consommateurs paient, soi-dit en passant).
Je ne serais pas surpris d'apprendre que Kaminsky a été rémunéré pour se taire et ne pas communiquer le résultat de ses recherches par les circuits standards. Cela fait joli dans le cv et les constructeurs et éditeurs peuvent prendre leur temps pour corriger la faille.
Tout le monde y gagne, sauf un: le consommateur. Ce dernier se retrouve enfermé dans des contrats et coûts de licence prohibitifs alors que l'éditeur de logiciel agit sciemment en ne mettant pas à jour son produit, pourtant à haut risque, pendant plus de 4 mois!!
N'importe quel 0day sur IE, Flash, Firefox ou autre place plus ou moins l'internaute dans une situation bien pire (contrôle local du système et non pas que le trafic Internet, c'est bien plus discret et rentable) et cela depuis de nombreuses années.
Je reste convaincu que cette faille n'est qu'une grande supercherie dont la presse grand public se sert pour attiser son effet FUD, tout comme les intervenants majeurs s'en sont servi pour tenter de convaincre les chercheurs en sécurité.
[...]
