Selon le programme Zero-Day Initiative (ZDI) mis en place par HP TippingPoint, IBM, Hewlett-Packard (HP) et Microsoft figurent en tête de la liste des entreprises qui n'ont pas pris la peine de corriger les vulnérabilités présentes dans leurs produits et notifiées il y a six mois par le plus grand collecteur et chasseur de bugs au niveau mondial. En 2011, TippingPoint - une division de HP - avait publié 29 avis « zero-day » fournissant des informations sur les vulnérabilités signalées aux fournisseurs de logiciels concernés et laissées en souffrance six mois et plus. 10 des 29 bugs signalés concernaient des produits IBM, 6 des logiciels de HP et 5 des produits de Microsoft. D'autres entreprises comme CA, Cisco et EMC figurent aussi sur cette liste des éditeurs retardataires.

TippingPoint, peut être plus connu comme sponsor du concours annuel de piratage Pwn2Own, achète les vulnérabilités découvertes par des chercheurs indépendants spécialisés dans la sécurité, qu'il rétrocède ensuite aux éditeurs et les utilise aussi pour élaborer des parades pour ses propres dispositifs de sécurité. Depuis mi-2010, TippingPoint a décidé que, si un vendeur ne corrigeait pas la vulnérabilité signalée dans les six mois suivant sa notification, il la rendrait publique sous forme d'avis comportant « des détails limités » sur le bogue.

Un ultimatum de 6 mois bénéfique ?


Le 7 février 2011, TippingPoint publiait son premier avis Zero-Day. TippingPoint avait expliqué alors que ce délai de six mois devait inciter les développeurs de logiciels à livrer leurs correctifs plus rapidement. « L'ultimatum lié à la communication publique de certaines informations sert à faire pression sur les vendeurs, » avait déclaré à l'époque dans une interview Aaron Portnoy, le chef de l'équipe de chercheurs de TippingPoint.

A ce jour, de l'avis d'Aaron Portnoy et de Derek Brown, autre chercheur de ZDI, le programme a plus ou moins bien fonctionné. « Ce qui ressort de cette expérience, c'est que nous avons constaté une plus grande réactivité, » a déclaré Derek Brown. « Si les éditeurs ne se montrent pas suffisamment diligents, et si, après avoir travaillé avec eux, il apparaît qu'ils ne sont pas très motivés pour sortir un correctif, nous rendons l'information Zero-Day publique. » Selon le chef de l'équipe, « il ne s'agit pas seulement de l'impact réel des vulnérabilités en terme de sécurité, mais de l'impact sur le public. »

[[page]]

Selon les chercheurs, ces modalités « mettent la pression sur l'éditeur et devraient l'inciter à corriger son produit, parce qu'un logiciel avec des vulnérabilités non corrigées change la perception de la sécurité du produit. » Mais il y a eu de belles réussites, comme l'a fait remarquer Aaron Portnoy. « Certaines équipes de sécurité nous ont remercié d'avoir rendu public un avis « Zero-Day» sur un de leurs produits, » a déclaré le chercheur. « Ils ont pu ensuite faire valoir auprès de l'éditeur qu'ils avaient besoin de davantage de ressources. »

Une orientation vers les systèmes SCADA privilégiée


Sur les 5 vulnérabilités divulguées le 7 février 2011 par ZDI concernant Office, Microsoft les a toutes corrigées dans les bulletins MS11-021, MS11-022 et MS11-023 livrés en avril 2011. ZDI avait communiqué ces vulnérabilités à Microsoft en trois fois, exactement le 30 juin, le 20 juillet et le 25 août 2010. De leurs côtés, IBM et HP n'ont jamais corrigé les 16 vulnérabilités, dont certaines rapportées par ZDI il y a deux, voire même trois ans, grâce au programme de primes et de collecte de bugs. Selon Aaron Portnoy et Derek Brown, la limite des six mois avant la divulgation des Zero-Days a fait de 2011 une année record. « Jusqu'à présent, en 2011, le vivier de chercheurs indépendants de TippingPoint a généré 350 rapports de vulnérabilité, en hausse de 16% par rapport aux 301 rapports émis en 2010, » a déclaré Derek Brown. « L'ultimatum de six mois a contribué à cette accroissement du nombre d'avis, » a ajouté M. Brown. « Parmi les bogues achetés cette année, nous avons remarqué une tendance intéressante avec beaucoup de vulnérabilités dans les systèmes de contrôle industriel SCADA ou «Supervisory Control and Data Acquisition» qui arrivent en tête de liste, » a déclaré ZDI.

Le programme a acquis six vulnérabilités SCADA en 2011, affectant un logiciel développé par General Electric, Honeywell et InduSoft. « Nous avons récolté quelques très sérieux bogues SCADA, » a déclaré Derek Brown. « Et jusqu'à présent, notre collaboration avec les éditeurs a été très productive. » ZDI n'a publié aucun avis Zero-Day pour les bugs SCADA collectés par le programme, et Aaron Portnoy a indiqué que TippingPoint n'a pas l'intention de rendre cette information publique dans le cas où le correctif tarderait à venir. Selon les chercheurs, l'intérêt pour les vulnérabilités SCADA date de l'an dernier, avec la découverte du ver Stuxnet, qui, d'après la plupart des experts, aurait été conçu pour saboter le programme nucléaire iranien et les installations chargées de l'enrichissement de l'uranium. Le ver serait parvenu à endommager les centrifugeuses d'une ou plusieurs installations. TippingPoint travaille avec l'ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), une extension de l'US-CERT, elle-même rattachée au Département de la Sécurité Intérieur américain, afin de coordonner les informations qui remontent sur SCADA.

Dans une autre communication, Aaron Portnoy a confirmé que TippingPoint et ZDI seraient de nouveau les sponsors du concours de piratage Pwn2Own piratage prévu début mars 2012 au CanSecWest de Vancouver, Colombie-Britannique. Le chercheur et chef d'équipe a déclaré que ZDI va « monter la barre des enjeux » du concours en modifiant à la fois le mode de fonctionnement de la compétition et la valeur des prix attribués. Celui-ci a refusé d'en dire plus sur Pwn2Own 2012, mais a promis de fournir davantage d'informations aux chercheurs en début d'année prochaine.