Opinion: La gestion par Zoom de la divulgation de la vulnérabilité met en évidence le côté sombre des NDA de bugs bounty

Malgré les meilleurs efforts d'une organisation pour produire un service qui fonctionne parfaitement et qui est sécurisé, des bogues logiciels peuvent survenir et se produisent, et certains sont plus graves que d'autres.

Parfois, ces bogues peuvent ne pas être détectés, même par les équipes de sécurité les plus expérimentées, ce qui peut entraîner un produit qui compromet la sécurité numérique de ses utilisateurs et les expose aux cyberattaques. De nombreuses entreprises ont mis en place des programmes de bug bounty pour recruter des chercheurs en cybersécurité pour les aider à localiser les vulnérabilités qui peuvent se cacher dans leurs systèmes.

Essentiellement, le chercheur pirate (éthiquement) le système du fournisseur pour essayer d'exploiter toutes les vulnérabilités qui pourraient exister. Si le chercheur découvre une vulnérabilité qui présente un risque suffisamment important, le chercheur peut collecter une prime de bogue d'une valeur de centaines de dollars, voire de centaines de milliers de dollars, selon la gravité du bogue découvert. Les chasseurs de primes aux insectes agissent souvent comme les héros méconnus de la cybersécurité en tenant les organisations responsables de la sécurité numérique des consommateurs.

Que se passe-t-il, cependant, lorsqu'une organisation est en désaccord avec le chercheur en cybersécurité sur la gravité d'une vulnérabilité découverte par le chercheur? Que se passe-t-il lorsqu'une organisation tente d'éviter la reddition de comptes en interdisant au chercheur de divulguer publiquement ses conclusions, ou accepte seulement de payer une prime de bogue à condition que le chercheur reste publiquement silencieux sur une vulnérabilité? Lorsque cela se produit, la sécurité numérique et la vie privée des consommateurs peuvent être sérieusement compromises..

Les programmes de bug bounty sont essentiels pour assurer la sécurité et le bon fonctionnement des systèmes qui exécutent les logiciels et les applications que les consommateurs utilisent quotidiennement. Ils incitent les chercheurs en cybersécurité et les hackers éthiques à se manifester et à détecter les vulnérabilités. Il va de soi qu'exiger que les chasseurs de primes de bogues signent un accord de non-divulgation (NDA) est également un moyen important et efficace d'empêcher toute vulnérabilité potentiellement grave d'être exposée publiquement et exploitée avant d'être corrigée..

Cela dit, les dispositions de la NDA qui empêchent un chercheur de divulguer publiquement une vulnérabilité pourraient, par exemple, inciter peu une entreprise à corriger correctement la faute, laissant les utilisateurs exposés à diverses menaces informatiques.

Les chercheurs en sécurité et les chasseurs de primes aux bogues font un excellent travail pour tenir les entreprises responsables de la protection de leurs utilisateurs. Mais lorsque les entreprises s'engagent dans des tactiques NDA douteuses avec des chercheurs en sécurité pour contourner cette responsabilité, la sécurité des utilisateurs peut être mise à risque..

À la lumière de la récente vague de violations de données de grande envergure et d'importantes omissions de sécurité impliquant certains des plus grands noms de la technologie, le public mérite une responsabilité beaucoup plus grande de la part des entreprises auxquelles il confie ses informations. Les législateurs du monde entier ont commencé à sévir contre l'industrie et ont rédigé une législation visant à protéger les consommateurs tout en tenant les entreprises technologiques responsables de la façon dont elles traitent les données sensibles. Des dirigeants de l'industrie tels que Mark Zuckerberg de Facebook, Bill Gates de Microsoft et Tim Cook d'Apple ont tous reconnu la nécessité d'une meilleure protection de la vie privée des consommateurs ainsi que d'un plus grand sens de la responsabilité des entreprises. Dans le même temps, les consommateurs se méfient de plus en plus de la façon dont les entreprises gèrent leurs données privées.

Compte tenu de cette tendance, Zoom gère la divulgation responsable par un chercheur en cybersécurité de plusieurs vulnérabilités graves dans son application de vidéoconférence. En mars, le chercheur en cybersécurité Jonathan Leitschuh a contacté Zoom pour informer la société de trois failles de sécurité majeures existant dans son application de vidéoconférence pour ordinateurs Mac. En plus d'un bogue qui permettait à un attaquant malveillant de lancer une attaque par déni de service (DOS) sur la machine d'un utilisateur, et un bogue qui laissait un serveur Web local installé sur le Mac de l'utilisateur même après avoir désinstallé l'application Zoom, Leitschuh a également découvert un vulnérabilité gravement alarmante qui permettait à une entité tierce malveillante d'activer à distance et automatiquement le microphone et la caméra d'un utilisateur Mac sans méfiance.

Selon le blog de Leitschuh, Zoom a constamment minimisé la gravité des vulnérabilités lors des pourparlers en cours. Leitschuh a donné à Zoom une fenêtre standard de 90 jours pour résoudre les problèmes avant de procéder à la divulgation publique. Il a même fourni à Zoom ce qu'il appelait une solution de «correction rapide» pour corriger temporairement la vulnérabilité de la caméra pendant que l'entreprise finissait de déployer le correctif permanent. Lors d'une réunion avant la date limite de divulgation publique de 90 jours, Zoom a présenté à Leitschuh son correctif proposé. Cependant, le chercheur a rapidement souligné que la solution proposée était inadéquate et pouvait facilement être contournée par divers moyens.

À la fin du délai de divulgation publique de 90 jours, Zoom a mis en œuvre la solution temporaire de «solution rapide». Leitschuh a écrit dans son blog:

"En fin de compte, Zoom n'a pas réussi à confirmer rapidement que la vulnérabilité signalée existait réellement et n'a pas réussi à résoudre le problème en temps opportun. Une organisation de ce profil et avec une telle base d'utilisateurs aurait dû être plus proactive dans la protection de leurs utilisateurs contre les attaques."

Dans sa réponse initiale à la divulgation publique sur le blog de la société, Zoom a refusé de reconnaître la gravité de la vulnérabilité vidéo et "finalement ... a décidé de ne pas modifier la fonctionnalité de l'application". Bien que (seulement après avoir reçu une réaction importante du public après la divulgation) Zoom a accepté de supprimer complètement le serveur Web local qui a rendu l'exploit possible, la réponse initiale de l'entreprise ainsi que les comptes rendus de Leitschuh sur la façon dont Zoom a choisi de traiter sa divulgation responsable révèlent que Zoom n'a pas pris le problème au sérieux et avait peu d'intérêt à résoudre correctement il.

Garder le silence

Zoom avait tenté d’acheter le silence de Leitschuh sur la question en lui permettant de bénéficier du programme de primes aux bogues de la société uniquement à la condition de signer un NDA excessivement strict. Leitschuh a décliné l'offre. Zoom a soutenu que le chercheur s'était vu offrir une prime financière mais l'a refusée en raison de «conditions de non-divulgation». Ce que Zoom a négligé de mentionner, c'est que les termes spécifiques signifiaient que Leitschuh aurait été interdit de divulguer les vulnérabilités même après qu'elles aient été correctement corrigées. Cela aurait incité Zoom zéro à corriger une vulnérabilité que la société a rejetée comme étant insignifiante..

Les NDA sont une pratique courante dans les programmes de bug bounty, mais exiger un silence permanent du chercheur revient à payer de l'argent et ne profite finalement pas au chercheur, ni aux utilisateurs, ni au public en général. Le rôle de la NDA devrait être de donner à l'entreprise un délai raisonnable pour traiter et corriger une vulnérabilité avant qu'elle ne soit exposée au public et potentiellement exploitée par des cybercriminels. Les entreprises ont une attente raisonnable de non-divulgation lorsqu'elles s'efforcent de corriger une vulnérabilité, mais principalement au profit de l'utilisateur, et non principalement pour sauver la face devant le tribunal de l'opinion publique. Les chercheurs, quant à eux, attendent raisonnablement une récompense monétaire ainsi que la reconnaissance publique de leurs efforts. Les utilisateurs s'attendent raisonnablement à ce que les entreprises dont ils utilisent les produits fassent tout ce qui est en leur pouvoir pour protéger leur vie privée. Enfin, le public a un droit raisonnable de savoir quelles sont les failles de sécurité existantes et ce qui est fait pour protéger les consommateurs contre les cybermenaces, et ce que les consommateurs peuvent faire pour se protéger.

Priorités contradictoires

Il aurait été difficile pour Zoom de gérer cette situation pire qu'elle ne l'a fait. L'entreprise était tellement concentrée sur la création d'une expérience utilisateur transparente qu'elle a complètement perdu de vue l'importance cruciale de protéger la confidentialité des utilisateurs. «La vidéo est au cœur de l'expérience Zoom. Notre plate-forme vidéo d'abord est un avantage clé pour nos utilisateurs du monde entier, et nos clients nous ont dit qu'ils choisissaient Zoom pour notre expérience de communications vidéo sans friction », a déclaré la société dans sa réponse. Mais Zoom a recouru à l'installation d'un serveur Web local en arrière-plan sur les ordinateurs Mac qui a efficacement contourné une fonction de sécurité dans le navigateur Web Safari pour faciliter cette expérience vidéo «sans friction» pour ses utilisateurs. La fonctionnalité de sécurité de Safari en question nécessitait une confirmation de l'utilisateur avant de lancer l'application sur un Mac. La solution de Zoom à cela était de la contourner délibérément et de mettre en danger la vie privée de ses utilisateurs pour leur faire gagner un clic ou deux.

Ce n'est qu'après la réaction du public qu'elle a reçue à la suite de la divulgation que l'entreprise a pris des mesures significatives. La réponse initiale de la société suggérait qu’elle n’avait pas l’intention de modifier la fonctionnalité de l’application, même à la lumière des vulnérabilités importantes que l’application hébergeait. Il semble que l'entreprise était disposée à donner la priorité à l'expérience utilisateur plutôt qu'à la sécurité des utilisateurs. Bien qu'une expérience utilisateur fluide soit sans aucun doute bénéfique pour toute application en ligne, elle ne devrait certainement pas se faire au détriment de la sécurité et de la confidentialité.

Au crédit de l'entreprise, le cofondateur et PDG Eric S. Yuan a reconnu plus tard que Zoom avait mal géré la situation et s'était engagé à faire mieux à l'avenir. Yuan a déclaré dans un article de blog que «nous avons mal évalué la situation et n’avons pas répondu assez rapidement - et cela nous concerne. Nous en sommes pleinement propriétaires et nous avons beaucoup appris. Ce que je peux vous dire, c'est que nous prenons la sécurité des utilisateurs incroyablement au sérieux et que nous nous engageons sans réserve à faire le bien de nos utilisateurs », ajoutant également que« notre processus d'escalade actuel n'était clairement pas assez bon dans ce cas. Nous avons pris des mesures pour améliorer notre processus de réception, d'escalade et de bouclage de toutes les futures préoccupations liées à la sécurité. »

"nous avons mal évalué la situation et n'avons pas réagi assez rapidement - et c'est sur nous.

En fin de compte cependant, la réalité demeure que si le chercheur avait accepté les termes de la NDA qui lui avait été présentée par Zoom et avait été interdit de divulguer ses conclusions, nous n'aurions probablement jamais entendu parler de la vulnérabilité. Pire encore, l'entreprise n'aurait probablement jamais résolu le problème, laissant des millions d'utilisateurs vulnérables à une grave atteinte à la vie privée.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me