Le 14 janvier 2020, jour de la fin du support officiel de Windows 7, une faille critique touchant à toutes les versions de Windows jusqu’à la version 7 aura été dévoilée.

Le composant critique est la bibliothèque crypt32.dll, laquelle contrôle les fonctions en rapport avec les certificats et le chiffrement des messages.

Ce qui nous intéresse ici n’est pas tant l’impact de cette nouvelle que le contexte de découverte de ces failles. Comment une faille est-elle découverte, comment est-elle exploitée ?

Il faut savoir qu’il y a là un marché, que les failles peuvent se monnayer. Cela dépend de l’étique du chercheur. S’il y en a, nombreux, qui continuent de mettre à disposition le résultat de leurs recherches gratuitement, d’autres sont clairement tentés de vendre leurs travaux, aux éditeurs/développeurs ou sur des plateformes dédiées présentes la plupart du temps sur le darkweb.

On remarquera qu’une faille n’est pas forcément toujours colmatée rapidement. La faille MS08-028 au catalogue de Microsoft a mis plus de trois ans avant d’être neutralisée. Et une autre a battu un record, 20 ans ! Il s’agit de la faille sur l’algorithme LZO qui pouvait toucher certains téléphones Android, le noyau Linux et même des modules martiens utilisés par la NASA !

La divulgation complète ou « full disclosure » en anglais est la première approche, sans doute accentuée par les réseaux sociaux, les blogs et autres sites spécialisés. Il s’agit de la pratique consistant à publier le plus tôt possible les vulnérabilités sur les logiciels ce qui les met, de facto, à disposition du public sans restriction.

L’objectif principal est de permettre aux victimes potentielles de disposer des mêmes informations que les pirates qui les attaquent.

Ce principe fait néanmoins débat et ce n’est pas nouveau. Wikipedia, dans le chapitre précisément consacré à la divulgation complète, met en lumière le cas de serruriers du 19ème siècle. Fallait-il divulguer les faiblesses des systèmes de verrouillage ? Par analogie, à l’heure du numérique, faut-il divulguer les faiblesses des systèmes d’informations ? De nombreux experts sont pour, de nombreux autres sont contre…

A côté de la divulgation complète se placent deux autres catégories.

En premier lieu, la divulgation coordonnée ou divulgation responsable, principe qui veut qu’une faille ne soit divulguée au public que lorsque l’éditeur ou le développeur a donné son aval. Les raisons invoquées pour soutenir cette pratique sont que les utilisateurs finaux ne sont pas formés pour tirer parti des informations très techniques que l’on met à leur disposition. Et accessoirement cela donne plus de temps à l’éditeur pour trouver une parade. Il se peut en effet que des attaquants profitent des informations libres pour mener une attaque le temps que la faille reste ouverte.

Cette approche, sans surprise, est celle des éditeurs et développeurs d’applications.

Cependant, les responsables informatiques sont traités à la même enseigne alors que pour eux la connaissance de failles est une chose importante dans la gestion d’un réseau. Cela peut leur permettre de prendre des mesures en attendant les corrections.

Enfin, certains chercheurs, appelons-les alors hackers ou plus exactement hackers black hat, vont vouloir, sans état d’âme, vendre leurs travaux, par l’intermédiaire de plateformes spécifiques, à d’autres hackers ou vont les exploiter eux-mêmes pour en tirer des bénéfices.

Dans le même contexte un terme reste à définir : zéro-day ou 0-day, jour zéro. Une vulnérabilité 0-day est une vulnérabilité pour laquelle il n’existe pas de publication ou qui n’a pas de correctif connu. Une vulnérabilité 0-day n’existe que pendant une courte période en principe. Dès qu’elle est connue par la communauté elle cesse d’être 0-day.

0-day est aussi l’adresse d’un site web où se négocient les exploits.

Sources :
Le Monde Informatique : « Un bug majeur pour saluer la fin du support de Windows 7 ? »
Wikipedia : « Divulgation complète » ou « Vulnérabilité zero-day »