Le conflit public entre Microsoft et un chercheur en sécurité suscite un nouveau débat au sein de l'industrie de la cybersécurité sur les règles de divulgation des vulnérabilités. Le point de controverse réside dans le fait que le chercheur a rendu publiques plusieurs vulnérabilités ainsi que leurs codes d'exploitation avant que Microsoft n'ait terminé leur correctif. Microsoft a critiqué cette approche, affirmant qu'elle pourrait aider les attaquants, et a averti qu'elle poursuivrait des voies légales et judiciaires.
Microsoft critique publiquement la divulgation ouverte
Microsoft a publié un billet de blog mercredi critiquant le chercheur connu sous le nom d'utilisateur "Nightmare Eclipse" pour avoir divulgué publiquement plusieurs vulnérabilités, notamment BlueHammer, RedSun UnDefend et YellowKey. Ces problèmes concernent le moteur antivirus intégré de Windows, Defender, ainsi que des outils de chiffrement de disque tels que BitLocker.
Microsoft a déclaré que les chercheurs n'ont pas soumis les vulnérabilités par les canaux normaux pour permettre à l'entreprise de disposer d'un délai de correction. Microsoft estime que cette divulgation publique avant correction augmente le risque d'attaques réelles. Microsoft a également indiqué que certaines de ces vulnérabilités ont ensuite été exploitées par des pirates dans des attaques réelles, une situation également mentionnée par l'agence américaine de cybersécurité CISA.
Microsoft mentionne une réaction suite à la transmission pénale
Microsoft a écrit dans son billet de blog que son département de criminalité numérique poursuivra les auteurs concernés ainsi que les personnes « les aidant dans leurs activités criminelles », et coordonnera avec les forces de l'ordre mondiales si nécessaire. Il est généralement considéré que cette déclaration constitue une menace légale envers les chercheurs.
Nightmare Eclipse a déclaré dans son blog ces dernières semaines qu'il avait contacté Microsoft, mais avait été mal traité, notamment par la révocation de ses droits d'accès au compte du Microsoft Security Response Center, utilisé initialement pour soumettre des rapports de vulnérabilités. Le chercheur a suggéré qu'il n'avait choisi de divulguer publiquement les vulnérabilités qu'après la rupture des canaux de communication.
Les informations sur ces vulnérabilités ont été publiées sur GitHub et GitLab, et les comptes concernés ont été suspendus. GitHub est actuellement détenu par Microsoft.
La communauté de la sécurité s'inquiète d'un effet de dissuasion
Cette polémique a rapidement suscité la mécontentement de la communauté des chercheurs en sécurité. Le cœur du débat n'est pas nouveau : les chercheurs indépendants qui découvrent des vulnérabilités doivent-ils s'assurer que le fabricant effectue la correction ; et dans quelle mesure les chercheurs sont-ils responsables si le fabricant gère mal la situation ?
Les programmes de récompense pour vulnérabilités et les mécanismes de divulgation coordonnée ont été créés précisément pour atténuer ce type de conflit. Aujourd'hui, la plupart des grandes entreprises technologiques offrent des récompenses aux chercheurs qui signalent des vulnérabilités en privé, et coordonnent la divulgation des détails une fois la faille corrigée.
Katie Moussouris, fondatrice de Luta Security qui a précédemment aidé Microsoft à mettre en place son programme de récompenses pour la découverte de vulnérabilités, a déclaré à TechCrunch que le fait que Microsoft utilise à nouveau des termes comme « divulgation responsable » tend à charger unilatéralement les chercheurs de la responsabilité ; ajouter une référence au département de la criminalité numérique pourrait encore affaiblir la confiance des chercheurs en Microsoft.
Elle a averti que si les chercheurs cessent de signaler les vulnérabilités à Microsoft, davantage de problèmes de sécurité resteront hors du champ public, augmentant ainsi le risque global. Kevin Beaumont, ancien employé de Microsoft et chercheur en sécurité actuel, a également critiqué publiquement la manière dont Microsoft gère la situation, affirmant que l'entreprise lie directement les codes d'exploitation de vulnérabilités à des « activités criminelles », ce qui a déclenché une crise de réputation et de confiance due à sa propre mauvaise gestion.