Article d’interview de Vladimir Palant sur la divulgation de vulnérabilités dans des applications de sécurité coréennes
(thereadable.co)Contenu d’une interview écrite menée en janvier avec Vladimir Palant au sujet de la divulgation de plusieurs vulnérabilités dans des applications de sécurité coréennes :
- « Dans un e-mail envoyé à The Readable, l’équipe d’analyse des vulnérabilités de la Korea Internet & Security Agency a indiqué qu’après avoir évalué les problèmes de sécurité signalés par le chercheur en cybersécurité, elle a conclu qu’il ne s’agissait pas de vulnérabilités à haut risque pouvant entraîner des dommages graves. »
- Un responsable du Financial Security Institute, qui examine cette question de près, a déclaré : « Nous estimons qu’il est peu probable que cette vulnérabilité soit réellement exploitée par des attaquants. » Il a ajouté : « Indépendamment de son impact, cela reste une vulnérabilité qui doit être traitée. »
- Palant a averti : « Ce n’est qu’une question de temps avant que certains criminels ne découvrent ces applications et commencent à les exploiter. »
- Palant a affirmé : « On ne peut pas s’attendre à ce que les entreprises agissent de manière éthique et conçoivent des logiciels sûrs de bonne foi. » Il a souligné l’importance d’un examen par des chercheurs indépendants des vulnérabilités de sécurité dans les applications critiques.
Traduction coréenne : https://github.com/alanleedev/KoreaSecurityApps/…
4 commentaires
La faille est clairement identifiée et entièrement divulguée, mais qu’est-ce que cela veut dire qu’elle a peu de chances d’être réellement exploitée ?
Le fait que « la probabilité d’une exploitation réelle soit faible » est une réponse qui revient souvent quand on demande pourquoi les récompenses du programme de bug bounty de la KISA sont si basses. Selon leurs critères, une vulnérabilité n’est considérée à haut risque et fortement exploitable que si elle permet, via une corruption mémoire, d’aller jusqu’à l’exécution de code arbitraire.
Palant n’étant probablement pas coréen, il ne peut sans doute pas toucher de prime de signalement de vulnérabilité, mais les Coréens, eux, peuvent être rémunérés via le programme de bug bounty de la KISA s’ils signalent ce type de faille de sécurité.
Alors, si les Coréens sont payés lorsqu’ils signalent des vulnérabilités (même si, bien sûr, l’existence de telles failles serait discrètement étouffée), pourquoi un étranger a-t-il choisi d’écrire publiquement sur ce problème (...)
En regardant le lien vers la traduction coréenne, on voit la phrase suivante : « Dans ce cas, selon ce responsable, diverses conditions préalables sont nécessaires, comme attirer l’utilisateur vers un site de phishing soigneusement conçu. De plus, même si l’exploit était déployé avec succès, il est peu probable qu’il entraîne des dommages critiques. »
À en juger par cela, l’impression générale est plutôt :
« La porte n’est pas verrouillée, mais le chemin pour y arriver est très difficile. »
Ça ne me semble pas être une très bonne réponse.