Le concept de Full disclosure, prônant la publication de tous les bugs informatiques, est vivement attaqué. Interview d’un collectif de hackers adeptes de la discrétion.
Toute information est-elle bonne à propager ? La question n’en finit pas d’agiter le monde de la sécurité informatique. Et ébranle un consensus que l’on croyait bien établi : lorsqu’un bug est découvert, il convient de prévenir l’éditeur du logiciel et, très rapidement, de publier une alerte de sécurité afin que tout le monde puisse prendre les mesures correctives qui s’imposent. Dans ce registre, la liste de diffusion Bugtraq constitue l’une des ressources principales de la communauté des informaticiens : une dizaine de bugs y sont dévoilés chaque jour. Cette vigie permet de débusquer, chaque mois, un ou deux défauts majeurs mettant en péril des milliers de serveurs sur le Net. Dans les jours qui suivent la publication de ces advisories, un "exploit" (bout de code permettant d’exploiter le bug décrit précédemment) est posté. Puis, c’est la curée. Des centaines de serveurs sont piratés par des gamins qui y laissent généralement un message politique, philosophique ou personnel, dont la profondeur dépasse rarement le niveau du bac à sable.
Risque de bavure
C’est pour s’opposer à ces defacements (piratages) de masse que des hackers ont lancé Antisecurity. Leur idée ? Arrêter de publier des choses qui mettent en danger des serveurs. En d’autres termes, il leur paraît normal de continuer à traquer les bugs et de coder des "exploits", mais il est inutile de publier le fruit de ces recherches pour qu’une horde d’adolescents en pleine rébellion pubertaire pirate le cyber-monde. Dans les FAQ (questions fréquemment posées) d’Antisecurity, on trouve cette interrogation : "Q - J’aime trouver des bugs, qu’y a-t-il de mal à ça ? R - Les pilotes de chasse aiment piloter des avions. Quelques fois, ils se retrouvent à piloter des avions au-dessus d’Hiroshima et Nagasaki". Un exemple quelque peu disproportionné, mais parlant.
Pour les auteurs du site, la plupart des gens qui publient dans Bugtraq recherchent une gloire qui ne représente pas grand-chose face aux dégâts provoqués. Ils font un parallèle entre le fait de publier des advisories et des exploits et le fait de distribuer des armes chargées à tout le monde. D’où un fort risque de bavure. De plus, une escalade malsaine entre la puissance des munitions et celle des protections va s’enclencher. La course à la sécurité est sans fin. Et la sécurité totale est illusoire...
Vie et mort d’une advisory
Si le débat prend de l’ampleur, c’est que les auteurs d’Antisecurity ne sont ni des pirates, ni de mauvais informaticiens assaillis par des script kiddies. Il s’agit de la crème des hackers. Le groupe ADM et security.is sont à l’origine de trouvailles étonnantes dans le domaine de la sécurité informatique. Et leur position théorique mérite qu’on s’y arrête. En s’abstenant de publier une alerte, les experts ayant détecté une faille de sécurité auront, certes, potentiellement la possibilité de pirater des serveurs et des réseaux. Mais guère plus qu’actuellement. Dans le concept de Full Disclosure (transparence totale) qui prévaut pour l’instant, il reste en effet une période grise entre la découverte du bug et sa publication sur Bugtraq pendant laquelle l’auteur et un cercle de proches discutent du problème. Laps de temps pendant lequel les dérapages sont toujours possibles. En attendant de trouver une solution, rien n’empêche les découvreurs de prévenir les éditeurs pour qu’ils réparent dans l’ombre...