Vulnérabilités : polémique autour de l’utilisation d’OSVDB

C’est un débat qui n’est pas sans en rappeler d’autres, plus anciens, qui agite aujourd’hui le monde de la sécurité. Dans un billet de blog publié en milieu de semaine dernière, les gestionnaires de l’OSVDB, une base de données ouverte sur les vulnérabilités logicielles, dénoncent le comportement de deux acteurs du secteur : l’espagnol S21sec et McAfee. Et de commencer par une explication : « tous les jours, nous recevons des demandes de compte sur OSVDB, et chaque jour nous devons débouter de plus en plus de personnes. Dans de nombreux cas, l’usage prévu est clairement commercial, et nous leur suggérons de prendre une licence pour nos données via notre partenaire commercial Risk Based Security. » Et cela parce que, « bien que nous soyons un projet ouvert depuis de nombreuses années, le modèle du volontariat n’a pas fonctionné. Des gens voulaient nos données, mais pour la plupart ne voulaient pas donner de leur temps ou de leurs ressources. » D’où le choix d’une gratuité d’accès limitée aux usages personnels et non commerciaux.

Mais voilà, S21sec ne s’est pas contenté de ces explications. Et après avoir indiqué ne pas disposer de budget pour prendre une licence, l’Espagnol semble avoir décidé de se servir malgré tout. Quant à McAfee, il a refusé de prendre une licence au motif que l’entretien de l’OSVDB n’est pas totalement automatisé. Avant, apparemment, de commencer lui aussi à se servir.

Deux jours après sa publication initiale, le billet de blog des gestionnaires de la base de données a été mis à jour pour indiquer que McAfee et S21sec ont « rapidement réagi » et « enquêtent sur l’incident » tout en « prenant les mesures nécessaires pour assurer que tout accès futur et utilisation des données est conforme au texte de la licence » de l’OSVDB.

Mais l’incident, qui a fait couler quelques bits sur Twitter, ne s’arrête pas là. Robert Graham, dans le blog de son entreprise Errata Security, prend la défense de McAfee : « l’information publique est publique et ce n’est pas un crime, ni une violation éthique, que d’y accéder. » Alors, certes, une clause de licence mentionnée clairement sur le site de l’OSVDB refuse le droit d’accès aux données de manière industrialisée, automatisée. Mais pour Robert Graham, elle n’a aucune portée juridique. Et de souligner au passage que le fichier robots.txt du serveur Web de l’OSVDB n’apparaît pas même taillé pour empêcher l’accès industriel aux données du site… 

Bref, pour lui, « lorsque le nom de votre organisation commence par le mot ‘ouvert’ et que votre fichier robots.txt n’interdit pas l’extraction de données automatique, il est purement lunatique de vous plaindre lorsque quelqu’un fait exactement ce que cela implique. »