Vladislav Kochelaevs - Fotolia

Les Etats-Unis précisent leur politique de divulgation de vulnérabilités

Le débat n’est pas nouveau : les services du renseignement qui découvrent et mettent à profit des vulnérabilités logicielles doivent-ils les rendre publiques ?

Cela ressemble à un exercice de transparence, mais cela pourrait bien n’être qu’un effet de manche. La Maison Blanche assure vouloir être plus claire sur la manière dont les agences fédérales américaines déterminer si oui ou non elles doivent rendre publiques les vulnérabilités logicielles qu’elles découvrent. Les regards ne manquent pas de se tourner tout naturellement vers la NSA qui semble avoir profité longtemps de telles vulnérabilités, en silence. Mais la volonté affichée de l’exécutif américain échoue à répondre à toutes les questions.

L’ensemble tient au VEP, ou Vulnerabilities Equities Process, le processus suivant lequel les agences fédérales américaines étudient les vulnérabilités et déterminent si elles doivent les rendre publiques ou les garder secrètes, à des fins de renseignement, notamment. Selon Rob Joyce, conseiller spécial du président américain et coordinateur cybersécurité du conseil de la sécurité nationale, il s’agit aujourd’hui d’assurer que le VEP soit suivi « d’une manière qu’il puisse supporter un niveau élevé de supervision et de surveillance des citoyens qu’il sert ». Et cela concerne aussi les « départements et agences avec des missions de protection ».

Rob Joyce affirme, à titre personnel, « croire » que garder secrètes toutes les vulnérabilités découvertes n’est pas « une position responsable ». Et de déplorer que « de nombreuses nations le choisissent », tout ajoutant ne pas avoir connaissance de la moindre nation qui ait choisi de toutes les divulguer. Un rapport annuel devra donner des indicateurs sur le VEP « pour mieux informer le public sur le processus et ces résultats ».

Le nouveau cadre avancé pour le VEP n’intègre toutefois pas d’éléments de langage qui le rendraient obligatoire, et ne valide pas non le PATCH Act, un projet de loi qui imposerait un cadre réglementaire pour utiliser le VEP. Dans un billet de blog, Mozilla salue quelques avancées mais ne cache pas ses réserves, notamment l’absence de codification législative du VEP.

Sur Twitter, Edward Snowden affiche une position très critique, soulignant notamment que des indicateurs quantitatifs sur les vulnérabilités communiquées ne suffisent pas : ce qui compte, c’est le niveau de sévérité des vulnérabilités concernées. Et c’est sans compter avec une subtilité : selon lui, « les vendeurs d’armes numériques peuvent exempter de divulgation les failles critiques dans l’infrastructure US ». Et de dénoncer au passage le fait que la NSA ait pu garder pour elle la redoutable vulnérabilité Eternal Blue « pendant des années ».

De fait, les entreprises travaillant pour les agences fédérales américaines à la recherche de vulnérabilités sont tenues par des accords de non divulgation : elles ne peuvent dès lors pas informer les éditeurs ou constructeurs concernés.

Avec nos confrères de SearchSecurity.com (groupe TechTarget).

Pour approfondir sur Réglementations et Souveraineté

Close