Firefox fragilisé par une faille, ce n'est pas exceptionnel. Mais, depuis samedi 7, les esprits mozilliens s'échauffent plus que de coutume. Car cette information s'est répandue avant même que la Fondation ait mis en ligne le moindre communiqué. Outre l'annonce de cette vulnérabilité, un code d'exploitation a également été divulgué. Là, on ne parle plus de full disclosure , mais d'existence de Zero Day Exploit (ZDE), autrement dit d'un risque d'attaque quasiment imparable faute de prévention.

Qui est responsable ? Et les regards se tournent vers l'auteur du code, un « pape » de la recherche es sécurité, le célèbre « Paul » de Greyhat. Car c'est effectivement lui, ainsi que l'allemand Michael Krax, qui sont à l'origine de la découverte. Mais qui connaît Greyhat sait que Paul est très à cheval sur le ethical hacking, et que jamais exploit ne sortira de son laboratoire avant que l'éditeur n'ait été prévenu et qu'un correctif ne soit disponible. Quant à Krax, sa déjà longue liste de failles Firefox découvertes et gardées secrètes avant correction témoignent de sa probité. Full Disclosure (divulgation pleine et entière) oui, mais invoquer ce même Full Disclosure pour justifier un acte manifeste d'incitation au piratage, non, s'indignent les deux chercheurs. Précisons que Paul et « Mikx » Krax ont travaillé conjointement et ont collaboré, jusqu'à la date de ce vol manifeste, en respectant les impératifs de non divulgation imposés par le « Mozilla Foundation Bug Bounty ».


Et Paul vitupère, et dévoile « après coup » son exploit. Ceci afin d'en officialiser l'annonce auprès du grand public et réduire ainsi la fenêtre de vulnérabilité par méconnaissance, qui ne pourrait servir qu'aux pirates possédant la recette. Ceci également pour prouver la paternité et l'antériorité de la découverte. Car les premières « fuites organisées » non seulement participent au vol d'un travail, violent une parole donnée –le respect du Bounty Bug- mais encore laissent subtilement planer un doute quand à la propriété intellectuelle du travail effectué. Ce n'est pas de l'appropriation ni du plagiat, mais çà s'en approche fortement. Aucun nom d'auteur, nulle trace de son origine, si ce n'est du publiciste de « l'advisory ». Dès le dimanche 8, un film des événements excessivement précis a été tenu par le MozillaZine, et l'on entendait bruire des réactions épidermiques * sur Slashdot.

A qui ne profite pas le crime ? Au mouvement Full Disclosure , alias « F.D. », dans son ensemble. Ce courant milite, depuis fort longtemps, pour une véritable transparence des informations techniques touchant à la sécurité des outils logiciels. Ses participants s'opposent ouvertement à la tentative de mainmise que tentent d'imposer quelques grands éditeurs, notamment Microsoft, Oracle, Sybase… lesquels apprécieraient fortement être à la fois juges et parties pour tout ce qui touche aux inconsistances logicielles. Que ces éditeurs protègent leurs intérêts est légitime, d'autant plus qu'il faut un temps parfois non négligeable pour concevoir une rustine compatible avec toutes les configurations possibles. Un « patch » dénué de régression n'est pas un jeu d'enfant. Mais, c'est avec de tels arguments que ces mêmes éditeurs repoussent ad vitam aeternam le colmatage de certaines brèches. Pourquoi ? S'étonnent les militants du F.D., lesquels jouent alors le rôle d'un « Que Choisir » face à l'immobilisme des grands trusts de l'édition. Pourquoi, en effet. Car la difficulté technique n'explique pas tout. Les Microsoft aussi sont, à l'instar des RSSI cherchant à sécuriser leur infrastructure, confrontés à un problème de ROI, de retour sur investissement. Combien coûte le « fix » d'un bug provoqué par un code hérité trop ancien ? Combien de centaines, combien de milliers de lignes de C++ devra-t-on reprendre, combien cela coûtera-t-il au regard du risque réel et de l'espérance de vie du programme en question ?

Ce à quoi les partisans du F.D. rétorquent que le paramètre important dépend de ce qui est « accessible grâce » à cette faille, en faisant justement remarquer que jamais l'éditeur ne pourra prétendre estimer le coût du danger chez ses propres clients. « Vous engagez votre responsabilité en faisant commerce, assumez-là … on ne peut avoir le beurre et l'argent du beurre » estiment en substance les chercheurs de la liste Full Disclosure. Il est vrai que la « sécurité par l'obscurantisme » n'a jamais été une solution, et il s'est heureusement toujours trouvé un Ralf Nader pour forcer les General Motors à améliorer la fiabilité de leurs véhicules.

Mais cette lutte de défense du consommateur ne doit pas être confondue ou associée avec les débordements irresponsables d'un quarteron d'Ultras. Lesquels, d'ailleurs, font en pleine connaissance de cause le jeu des Microsoft, des Oracles, des Sybase, qui ont beau rôle d'ironiser sur « l'éthique très relative des militants de la divulgation entière ». La publication forcenée de ZDE par un petit groupe d'extrémistes est une technique « agitprop » bien connue des mouvements radicaux : des groupuscules télécommandés provoquent des désordres qui semblent signés par le camp adverse. Les Camelots du Roi d'avant-guerre, les Chemises Noires de Mussolini, les commandos trozkistes de 68, les véritables fuites des fausses dépêches d'Ems... cette technique est vieille comme l'histoire de la propagande et de la déstabilisation. Certes, ni Microsoft, ni Oracle, ni Sybase ne semblent assez retords pour tremper dans des combines aussi infâmes. Alors, si eux ne sont pas coupables, qui reste-t-il face à la responsabilité de cette stupide et dangereuse divulgation ?

* Merci à Emmanuel Jud de Secuser pour ce « deep hit » qui n'était pas évident à trouver