Sécurité

WikiLeaks impose des conditions pour partager les failles de sécurité avec Google et d’autres entreprises

Les près de 9 000 documents divulgués par WikiLeaks lors de la première phase du projet Vault 7 ont révélé que le gouvernement américain espionne en exploitant les vulnérabilités de diverses plateformes, dont iOS et Android. Mais si Apple, Google et d’autres entreprises veulent en savoir plus sur ces questions, elles devront négocier : WikiLeaks fait plusieurs demandes pour publier les détails techniques des défaillances.

Après la fuite, l’organisation a promis d’envoyer les données aux entreprises concernées. Mais ce ne serait pas si facile : à la date de publication de l’Année Zéro ? nom de code du premier lot de fuites de la Voûte 7 ? Wikileaks avait signalé qu’il ne révélerait les codes sources et les détails des moyens exploités par la CIA pour l’espionnage que lorsqu’il serait sûr de la manière de le faire sans faire place à d’autres problèmes de sécurité, en particulier ceux du jour zéro (ceux qui sont exploités avant que les corrections ne soient prêtes).

  Apple lance iOS 14.1 avec prise en charge de l'iPhone 12, iPadOS 14.1 et plus

La condition la plus importante – les autres conditions n’ont pas encore été révélées – est que chaque entreprise s’engage à corriger les vulnérabilités dans les 90 jours suivant la soumission des détails.

Les entreprises concernées par cette affaire ont été informées par courrier électronique de ces exigences. Cependant, jusqu’à présent, seul Mozilla a répondu en acceptant. WikiLeaks affirme que Google et d’autres entreprises restent silencieuses ? aucune réaction n’a été donnée, ni pour exprimer un désaccord.

Pour l’organisation, l’absence de réponse est le signe que ces entreprises sont en conflit d’intérêts. En ce sens, il est suspect que, pour beaucoup d’entre eux, le fait d’accepter de résoudre les problèmes dans les 90 jours pourrait rendre difficile la conclusion d’éventuels accords de collaboration avec les autorités.

Mais il est possible que les entreprises concernées soient certaines que les vulnérabilités ont été ou seront corrigées par des mises à jour. Google lui-même a déclaré, après avoir examiné le premier lot de documents ayant fait l’objet d’une fuite, qu’il est convaincu que les mises à jour et les fonctionnalités de sécurité protègent les utilisateurs de Chrome et d’Android contre les prétendues vulnérabilités, bien qu’il n’y ait aucun détail sur les bogues.

  La mairie de SP va plus que doubler le nombre de places avec le Wi-Fi gratuit

Des déclarations similaires ont été faites par Apple. Pour l’entreprise, de nombreuses failles liées aux pratiques d’espionnage ont déjà été corrigées avec les dernières mises à jour d’iOS.

Il serait raisonnable que la CIA elle-même se charge de communiquer les violations aux entreprises concernées, car après tout, sachant qu’elles existent, des groupes aux intentions malveillantes pourraient s’organiser pour les trouver. Mais il n’est pas dans la nature de cette agence et d’autres de prendre ce genre d’initiative. D’une certaine manière, cela peut donner des indices sur leur mode de fonctionnement, sans parler du fait que la CIA n’a pas encore reconnu les documents ayant fait l’objet d’une fuite.

Compte tenu de cela, il est vraiment curieux que Google, Apple et tant d’autres entreprises n’aient pas accepté les conditions de Wikileaks jusqu’à présent. Soit les entreprises sont vraiment sûres de leur propre capacité à trouver les points faibles, soit les conditions sont extrêmement strictes, allant bien au-delà de ce délai de 90 jours.

  Le FBI enquête sur une entreprise qui envahit les téléphones portables via WhatsApp

C’est une histoire qui promet d’aller loin. La chambre forte 7 doit avoir au moins sept fuites supplémentaires au cours de l’année.

A propos de l'auteur

Bernard

Actuellement responsable informatique dans une PME, je bosse dans le domaine depuis une vingtaine d'année maintenant. Fan inconditionnel de DBZ, et de la triologie Die Hard. #teamWindows sur Perlmol !

Laisser un commentaire