•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

La Maison-Blanche cache des informations sur des failles informatiques

Chargement de l’image

On en sait aujourd'hui un peu plus sur le très opaque Vulnerabilities Equities Process.

Photo : Reuters / Zach Gibson

Radio-Canada
Prenez note que cet article publié en 2017 pourrait contenir des informations qui ne sont plus à jour.

Le gouvernement américain s'abstient parfois de divulguer des informations sur d'importantes vulnérabilités informatiques, apprend-on dans un document publié mercredi par la Maison-Blanche.

Les services de renseignement américains peuvent compter sur des équipes de chercheurs en cybersécurité qui dédient leurs journées à chercher des failles dans divers systèmes informatiques. Une fois découvertes, ces vulnérabilités sont consignées dans des documents confidentiels et portés à l’attention du gouvernement.

L’ensemble de procédures déterminant la divulgation ou non de ces informations de sécurité informatique – et leur utilisation par les agences de renseignement américaines – est appelé Vulnerabilities Equities Process (VEP). Créé sous l’administration de Barack Obama, le VEP sert à examiner des failles de sécurité dont les fabricants d’appareils et les créateurs de logiciels ignorent l’existence. Ces vulnérabilités, surnommées « jour zéro » dans le milieu, étant inconnues de ceux qui pourraient les corriger, elles sont particulièrement prisées par les pirates criminels.

Pourquoi se taire?

Un document de 14 pages publié par l’administration du président Donald Trump permet d’y voir un peu plus clair dans le processus du VEP. Lorsqu’une vulnérabilité jour zéro est découverte, un comité composé d’une douzaine d’agences et de ministères se penche sur celle-ci pour en déterminer l’importance.

Si le groupe considère qu’il est peu probable qu’un pirate possède les moyens d’exploiter une faille ou qu’une mise à jour prendrait trop de temps à être appliquée pour atténuer les effets négatifs d’une attaque, il peut choisir de ne pas la rendre publique.

On apprend aussi que le comité est dirigé par la National Security Agency (NSA) et qu’il comprend le Federal Bureau of Investigation (FBI), la Central Intelligence Agency (CIA) et le département de la Sécurité intérieure. Le groupe est mené par Rob Joyce, coordinateur de la cybersécurité à la Maison-Blanche.

Selon Gizmodo, M. Joyce a affirmé mercredi que 90 % des vulnérabilités finissent par être révélées aux entreprises concernées. Les 10 % restants inquiètent toutefois les experts, qui estiment qu’ils constituent probablement les failles les plus graves, que le gouvernement américain espère exploiter pour ses propres intérêts.

Un manque de transparence

Le VEP a été maintes fois critiqué par le passé pour son opacité presque totale, notamment en ce qui a trait à des vulnérabilités exposant la population à un risque de piratage accru.

En mai dernier, Brad Smith, le chef de la division légale de Microsoft, avait pourfendu le milieu du renseignement (Nouvelle fenêtre) du gouvernement américain pour avoir « entreposé » ses connaissances en lien avec l’attaque WannaCry. Cette attaque importante avait été rendue possible par le vol d’informations auprès de la NSA, responsable du renseignement par voie électronique aux États-Unis.

Avec les informations de Gizmodo, et Wired

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !