Mesurer ce qui est important : Sévérité, Durée d'exposition et Complète divulgation

« En vrac, en direction de la Californie - Faut il avoir peur pour MySQL ? »

Mesurer ce qui est important : Sévérité, Durée d'exposition et Complète divulgation

Par Tristan, lundi 27 avril 2009. Lien permanent Vieux trucs

Ceci est la traduction d'un billet de mon collègue Johnathan Nightingale, qui travaille sur la sécurité de Firefox. Les remarques sur la traduction sont bienvenues dans les commentaires, rouverts (temporairement ?) pour l'occasion.

Les gens veulent savoir qu'ils sont en sécurité quand ils naviguent sur le Web. La sécurité varie grandement d'un navigateur à l'autre, et on voit du coup un nombre grandissant de gens tentant de comparer l'historique de sécurité des différents navigateurs. C'est une bonne nouvelle : non seulement ça informe les utilisateurs, mais en plus ça permet aux éditeurs de navigateurs de se situer par rapport aux autres et de s'améliorer.

En terme de sécurité, il est essentiel de s'assurer qu'on mesure ce qui est important. Mozilla en a déjà parlé, mais ça mérite d'être répété : si vous ne mesurez pas ce qui compte, vous encouragez en fait les fournisseurs de navigateurs à truquer le système plutôt qu'à améliorer leurs logiciels.

Quelles sont les choses à mesurer pour la sécurité ?

Il n'existe pas une mesure unique qui puisse donner une vue complète de la sécurité. Tout modèle de mesure de la sécurité se doit de prendre en compte plusieurs facteurs. Quoi qu'il en soit, il y a trois principaux éléments qui sous-tendent un modèle bien construit. C'est ce que j'appelle SEC en anglais (Severity / Exposure Windows / Complete Disclosure) ou SDC en français (Sévérité / Durée d'exposition / Complète divulgation). Explications :

Sévérité : un bon modèle de mesure mettra en avant les failles sévères, exploitable de façon automatisée, plus que les bogues gênants ou qui demande une collaboration active de l'utilisateur avec l'attaquant. Mesurer la sévérité encourage les éditeurs à s'attaquer avant tout aux bogues les plus dangereux, plutôt que de faire gonfler leurs chiffres avec des corrections de bogues mineurs alors que les grosses failles restent béantes.

Durée d'exposition : le comptage des bogues n'apporte pas d'information vraiment utile, alors qu'il est très important de savoir pendant combien de temps chaque bogue met les utilisateurs en danger. Mesurer la durée d'exposition (ou fenêtre d'exposition) encourage les fournisseurs à boucher rapidement les trous, et à distribuer rapidement les rustines aux utilisateurs.

Complète divulgation : Les autres paramètres que l'on compile n'ont quasiment pas de sens s'il n'est pas possible de voir tous les bogues résolus. Certains fournisseurs ne communiquent que sur les failles trouvées par des sources externes, cachant celles découvertes par les équipes internes. Cela leur permet d'afficher un chiffre faible donc flatteur. Limiter la prise en compte des bogues à ceux qui sont découverts par les gens de l'extérieur est mauvais à double titre. D'une part ça récompense les fournisseurs qui sont purement réactifs et d'autre part (ce qui est encore pire), ça n'encourage pas les fournisseurs qui mettent en place en interne des équipes de sécurité compétentes. Ce sont ces équipes qui trouvent la majorité des failles de sécurité. Il est important que la mesure de la sécurité prenne en compte ces efforts et les encourage.

Quelle est la solution ?

Si une méthode simple permettant d'inclure toute cette information existait, nous serions déjà en train de l'utiliser. L'année dernière quand nous avons commencé à écrire sur ce sujet, notre objectif était de développer des idées autour de tout cela et de changer le niveau de discussion.

Une chose est sûre, cela ne va pas être facile... Le première étape est de savoir clairement ce qu'on attend de toute méthode d'évaluation de la sécurité. Si ça ne repose pas sur ces trois piliers essentiels que sont la Sévérité, la Durée d'exposition et la Complète divulgation, il faut se demander pourquoi. Et surtout ne pas hésiter à poser la question à ceux qui publient ces rapports...

Johnathan Nightingale, Human shield.

12 réactions

1 De sloshy - 27/04/2009, 05:54
Bonjour,

- Du point de vue de la traduction
1. Trop de francais tue le francais, bogue ne veut rien dire dans ce contexte, initialement il s'agit de l'écorce de la châtaigne, l'académie francaise n'a trouve d'autre mots pour pallier a l'anglicisme bug (insecte qui étais connu pour faire des courts circuits dans les premiers ordinateurs). Inventer un mots juste le plaisir d'en inventer un, cela reflète bien le franco-centrisme de l'académie. De plus nous sommes sur un sujet qui peut être considéré comme technique et donc le vocabulaire anglais n'est pas hors jeu. Pour le terme rustine, patch est beaucoup plus utilisé.
2. Complète divulgation -> Divulgation complète, en francais l'adjectif se place âpres le nom et non avant comme en anglais (la voiture bleue et non la bleue voiture), ~~ce n'est pas une faute grammaticale en sois parce que de plus en plus répandu car cela sonne bien a l'oreille et donc personne n'en est choque~~.
3. Dernière chose, lorsqu'il y a des ajouts du traducteurs ceux si doivent être entre parenthèse avec le sigle ndt: (note de traduction), ca permet ainsi de savoir ce que l'auteur a dis et ce que le traducteur veut dire (information pour améliorer la traduction, ou information complémentaire du a la traduction).
Dans l'ensemble la traduction reflète bien la pensée de l'auteur, ce qui est son but, bon travail !

Pour réagir a l'article, je pense qu'un modèle de sécurité battit uniquement sur ses trois points comme angle de vue générale est un modèle voue a l'échec, il y a plus a prendre en compte.
je crois aussi que ce qui est dis dans le troisième point n'est pas bon. Il ne fait pas bon mélange que le marketing et la sécurité, l'un boss pour l'image du navigateur et l'autre pour sa sécurité, sauf si le marketing juge que la sécurité est un atout majeur de son navigateur, il n'y a aucun liens entres eux, c'est moche mais c'est la politique d'entreprise qui veux ca, même si du cote technique je pense que le partage d'information devrait se faire le plus possible, le jours et le monde sera régis par la logique et non par le marketing, nous aurons tous fais un grand pas mais c'est pas pour demain la veille

my2cents,
sloshy
2 De Cédric - 27/04/2009, 09:32

Une typo : "à truquer LA système"
sinon merci pour la traduction, c'est un point important à comprendre (même en dehors de la sécurité) et on a ici un résumé très clair
3 De Nath - 27/04/2009, 11:15

@sloshy > C'est bien beau de critiquer une traduction quand juste après on fait une magnifique confusion : "je pense qu'un modèle de sécurité battit uniquement sur CES trois points..."

Et puis "sauf si le marketing juge que la sécurité est un atout majeur de son navigateur, il n'y a aucun liens entres eux". Je pense que c'est justement l'idée de l'article, que le marketing considère (ou doit considérer) la sécurité comme un atout.
C'est l'objet de la première phrase de l'article, non ?
4 De Qualité - 27/04/2009, 12:17

À Tristan, « Si une méthode simple permettait d'inclure toute cette information existait …» :

Si ça peut aider : dans l'industrie, il y a quelque chose qui s'approche de cela, c'est la FMECA (Failure Modes, Effects and Criticality Analysis).

Et ce qui est intéressant ici, c'est l'utilisation des notions suivantes (pour évaluer la criticité) :
– la Probabilité (d'apparition)
– la Gravité
Et parfois aussi :
– la Probabilité de non-détection

Alors, la Gravité pourrait correspondre à la Sévérité. Et la Durée d'exposition et la Complète divulgation serait réunies pour faire la Probabilité (d'apparition). En effet, la Durée d'exposition n'a de sens que parce qu'avec le temps, la probabilité augmente. Par contre, avec la Complète divulgation, il y a une notion en plus de Probabilité de non-détection… c'est moins évident…

Mais bon, si ça peut t'aider…
5 De Keul - 27/04/2009, 12:50

« … à truquer la système plutôt qu'améliorer leurs logiciels. »
> à truquer "le" système plutôt qu'"à a"méliorer leurs logiciels.

« Si une méthode simple permettait d'inclure toute cette information existait, … »
> Remplacer "permettait" par "permettant", ou alors changer la phrase après "information"
6 De Edouard Klein - 27/04/2009, 13:12

Ne devrait-on pas prendre en compte le profil de l'utilisateur ?
Je m'explique : les gens qui utilisent Internet explorer sont soit mal informés sur les technologies existantes, auquel cas ils sont plus vulnérables que les autres aux attaques nécessitant une collaboration de l'utilisateur, soit prisonniers d'un schéma d'entreprise ou autre dans lequel il n'ont pas le choix de leur navigateur ni de la politique de sécurité à mettre en place, ce qui les rend moins réactifs donc plus vulnérables également.

A l'inverse, un utilisateur libre de choisir ses logiciel et jouissant activement de ce droit sera sans doute plus informé, donc moins sujet aux attaques nécessitant la collaboration de l'utilisateur, et plus à même de mettre son navigateur à jour.

J'ignore comme chiffrer cela, mais je pense qu'il faudrait en tenir compte dans l'évaluation d'une politique de sécurité.
7 De Nikonoel - 27/04/2009, 14:14

Je me permets de réagir à un post précédent : http://standblog.org/blog/post/2009...
Il y a une petite erreur d'orthographe, le nom de Benjamin Bayart terminant par un "t" et non par un "d"
8 De Bruno - 27/04/2009, 14:15

C'est un article intéressant. J'ai pu lire récemment des conclusions hâtives, sans aucune analyse, tirés de statistiques sur les failles de sécurités des navigateurs.
Il est bon de rappeler que ces statistiques ne sont que des indicateurs partiels à interpréter avec la plus grande prudence. Surtout s'il on fait une étude comparative entre deux logiciels qui n'ont pas du tout le même modèle de développement. Il est évident que les deux derniers points, durée d'exposition et divulgation seront totalement différents dans le cas d'un logiciel libre, pour lequel il existe un système de suivi des bogues public, et un logiciel propriétaire pour lequel la divulgation peut mettre celui qui publie la faille dans l'insécurité juridique.
On pourrait également mesurer les failles exploitées : combien existe-t-il de logiciels (ou application Web) malveillants exploitant les failles de tel ou tel navigateur ? Je ne sais pas si ce type de statistique existe, ni même si c'est mesurable, mais ce serait un bon indicateur de la sévérité et du temps d'exposition aux failles.

PS:
«…les remarques sont binevenuEs…», et la traduction est bonne et ne nécessite presque aucun débogage
Divulgation totale : les autres mesures recueillies n'ont pratiquement aucun sens si…
9 De Tristan - 27/04/2009, 16:47

Merci à tous pour les suggestions d'amélioration. J'ai appliqué les corrections.

@Edouard Klein : prendre en compte le profil de l'utilisateur n'est pas une mauvaise idée, bien sûr, mais c'est un facteur de plus qui complexifie le problème qu'on n'a pas encore réussi à résoudre (à savoir mesurer la sécurité des navigateurs). Mesurer le coté humain est encore plus difficile

Cela dit, on travaille sur l'aspect que vous décrivez, avec les filtres antiphishing et anti-malware de Firefox. Mais c'est un aspect de la sécurité qui est encore différent de ce dont Johnathan Nightingale parle ici, qui est la correction de failles de sécurité, qui sont plus ou moins bien comptées, plus ou moins bien évaluées et plus ou moins rapidement corrigées.
10 De Tristan - 27/04/2009, 17:53

@Nikonoel : c'est corrigé, merci.
11 De MrTom - 27/04/2009, 18:18

@sloshy : il n'y a pas de règle prédéfinie écrite dans le marbre sur la position de l'adjectif en français. Je t'invite soit à consulter le cours sur français facile (1) ou plus compliqué, à lire l'article sur la position de l'adjectif épithète d'Anne Abeillé et Danielle Godard. (2)

(1) http://www.francaisfacile.com/exerc...
(2) http://rlv.revues.org/document1211....
12 De Qualité - 27/04/2009, 18:50

Pour en revenir à la FMECA (commentaire n°4), quand je dis « dans l'industrie », je veux dire l'« industrie lourde ». Parce que l'« industrie du logiciel », ça j'en sais rien, j'y connais rien du tout… Mais ça m'a l'air quand même tout à fait transposable ici.