Black Hat : Dan Kaminsky appelle à la coopération
Intervenant en ouverture de l’édition 2016 de la conférence Black Hat, Dan Kamsinky a appelé à plus de partage d’information et à plus d’implication du secteur public pour les projets de long terme en sécurité.
L’allocution d’ouverture de cette édition 2016 de la conférence Black Hat a été un appel à l’action, tant dans le secteur public que privé, pour lutter plus vite et plus efficacement contre les menaces informatiques.
Dan Kaminsky, chercheur en sécurité bien connu, et co-fondateur et directeur scientifique de White Ops, souligne ainsi qu’il est important de ne pas sous-estimer la question de la rapidité lorsqu’il s’agit de prendre des décisions en la matière : « les délais ont complètement changé. Lorsqu’il s’agissait de mois par le passé, il s’agit désormais de minutes. Tout a changé. Le cycle construction [d’un système de protection], contournement, apprentissage et adaptation à partir des expériences est devenu très bref. Et notre besoin de rendre les choses sûres, fonctionnelles et efficace a tout simplement explosé ».
Et Kaminsky d’évoquer tout ce qui peut affecter la sécurité, qu’il s’agisse de grandes projets ou de simples instants dans un cycle de développement : « certains pensent que c’est un jeu à somme nulle, que pour avoir la sécurité, tout le monde doit souffrir. Mais pour avoir la sécurité, il faut rendre la vie plus simple pour tout le monde. Allons de l’avant et donnons aux personnes des environnements avec lesquels il est facile de travailler. Pensez en termes de millisecondes, en termes de lignes que vous affectez, du temps que vous prenez, de la difficulté à faire passer quelque chose à échelle, pas seulement pour votre usage personnel, mais pour le monde entier. C’est ça le jeu qu’il faut jouer ».
Mais les évolutions culturelles n’ont pas lieu en quelques heures. Alors pour le chercheur, le partage d’informations est un moyen critique d’améliorer la sécurité à court terme. Et pas uniquement. Pour Kaminsky, il apparaît fréquent d’assigner des ingénieurs à la correction de problèmes de sécurité « qui ont probablement été corrigé un millier de fois. Alors peut-être devrait-on commencer par diffuser le code… Pour éviter que ses collaborateurs n’aient à régler répétitivement les mêmes problèmes, il est peut-être plus économique et plus rentable de simplement ouvrir [ce code] au monde entier ».
Parce que, comme le relève Kaminsky, « les bugs ne sont pas aléatoires, et les correctifs non plus ». Et de citer un groupe de banquiers qui partage code et correctifs : « nous ne faisons la compétition en sécurité. Si l’un d’entre nous est touché, nous tombons tous. Alors nous avons intérêt à partager l’information ».
Mais pour les projets de longue haleine, le chercheur estime nécessaire une implication plus grande du secteur public : « certaines choses vont demander trois ans d’effort. Et plus les choses prennent de temps, mais le secteur privé y réussit, et plus le secteur public est performant. Comment faire travailler une centaine de nerds pendant dix ans sur un projet, sans qu’ils soient interrompus ou harcelés, ou encore transférés à d’autres tâches ? La manière de ne pas y parvenir, c’est ce que l’on fait aujourd’hui, en s’appuyant sur le temps libre d’un petit nombre d’experts grassement payés. Nous pouvons faire mieux que ça ».
Et Kaminsky d’appeler de ses vœux la création d’instituts publics dédiés à des projets de recherche à long terme, et au financement stable : « je veux une organisation dédiée à l’étude étendue de la sécurité, capable de financier et de mettre en place des travaux difficiles et parfois ennuyeux pour résoudre les problèmes ». Et de prendre pour exemple le projet Samate du NIST américain : « ils se sont lancés et ont collecté les variantes de chaque vulnérabilité en C et Java – il y en a des milliers – pour permettre leur compilation dans un seul programme ». Un travail d’une valeur exceptionnelle pour les outils d’analyse statique : « ça existe peut-être chez Microsoft ou Oracle, ou d’autres encore, mais c’est le NIST qui l’a sorti ».
Adapté de l’anglais.