Vault 7 : WikiLeaks pose ses conditions pour divulguer les exploits 0day aux éditeurs

Le par  |  3 commentaire(s)
serrure-numerique

WikiLeaks ne communiquera en avant-première les vulnérabilités de Vault 7 aux éditeurs et fabricants qu'en échange de contreparties. Mystère, si ce n'est la mise en place d'une politique de divulgation des failles à la manière de Project Zero de Google.

Le 7 mars, le site WikiLeaks a débuté la publication de documents et fichiers qui émaneraient du Center for Cyber Intelligence de la CIA. Elle dévoile la vaste panoplie de techniques et outils de hacking dont disposerait l'agence centrale de renseignement américaine. Un arsenal de cyberarmes pour mener des attaques ciblées.

À cet effet, des vulnérabilités de sécurité affectant un large éventail d'appareils et logiciels sont exploitées. Parmi celles-ci, certaines n'avaient pas nécessairement de correctif idoine prodigué par l'éditeur concerné (des failles 0day). Pour le moment, WikiLeaks a volontairement évité de publier tous les détails techniques. Une manière de désarmer les cyberarmes.

Fondateur de WikiLeaks, Julian Assange a annoncé que de tels détails seront communiqués en amont aux éditeurs et fabricants. Un accès en avant-première afin qu'ils développent et publient des correctifs. Selon une information de Motherboard, aucun partage en ce sens n'a encore eu lieu, en dépit de premiers contacts comme avec Apple, Google, Microsoft, Mozilla et MikroTik qui sont cités par WikiLeaks.

Avant d'obtenir des informations sur les exploits 0day et autres méthodes de hacking, WikiLeaks obligerait les éditeurs à satisfaire un ensemble de conditions. Celles-ci ne sont pas précisées par Motherbord qui évoque seulement une politique de divulgation de 90 jours. Les éditeurs et fabricants auraient ainsi trois mois pour publier un patch après la communication d'une faille.

Une telle politique de 90 jours fait par exemple écho à la pratique parfois décriée du Project Zero de Google. Néanmoins, il est difficile de dire si en l'occurrence un tel délai sera suffisant pour déployer des patchs. Peut-on y voir un ultimatum ? La question reste ouverte, surtout tant que l'on ne connaît pas les autres exigences de WikiLeaks.

Le fait que la CIA soit impliquée complique d'autant plus l'affaire par rapport à une politique standard de divulgation des failles. Et que dire de l'attitude de cette dernière s'il s'avère que ses exploits ont effectivement fuité. Va-t-elle entrer en contact avec les éditeurs touchés ? Ce serait aussi reconnaître l'authenticité des documents en la possession de WikiLeaks, ce que la CIA a refusé de faire pour le moment, tout en critiquant l'initiative du site.

CIA
Apple mais aussi Google semblent plutôt sereins. Ils ont déjà fait savoir que nombre de vulnérabilités évoquées dans le cadre de l'affaire Vault 7 ont déjà été corrigées. Ce qui ne veut pourtant pas dire toutes… Plusieurs entreprises continuent d'analyser les premiers documents fuités. Sur la base d'une telle analyse, Cisco a par exemple repéré une vulnérabilité critique affectant Cluster Management Protocol dans Cisco IOS et Cisco IOS XE Software.

Rappelons que Vault 7 n'a fait que débuter. WikiLeaks promet d'autres publications dans les prochaines semaines.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1957568
C'est là que l'on va voir si les éditeurs sont honnêtes ou pas ,CAD si les failles sont réelles ou des blackdoors
Le #1957577
3 mois ça permet de voir venir je pense
Le #1957658
skynet a écrit :

3 mois ça permet de voir venir je pense


Surtout en cas de Backdoor...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]