Le monde de la cybersécurité aime bien labelliser : il attribue des identifiants à certains groupes de cybercriminels — les fameux APT — mais aussi à certaines vulnérabilités.
Il existe une sorte d’annuaire des failles découvertes, nommé CVE (Common vulnerabilities and exposure), entretenu par l’organisation à but non lucratif MITRE. Chaque nouvelle vulnérabilité significative peut obtenir un identifiant sous le format : CVE-[année]-[chiffres]. Cette façon de baptiser les failles s’avère particulièrement efficace pour les chercheurs, car elle permet d’obtenir une appellation généralisée pour les acteurs de l’écosystème, et elle les rend faciles à utiliser dans leurs outils d’analyse ou de détection automatiques.
En 2014, une faille avait été nommée Heartbleed, et avait même eu droit à un logo. // Source : Synopsys Inc.
Mais ce système n’est pas sans défaut : le nom ne donne d’indication ni sur la nature ni sur la dangerosité de la faille. Le site se contente d’une brève description de la faille et de liens de références. Il faut donc suivre les alertes des différents Cert (centres de veille, d’alerte et de réponse aux attaques informatiques), comme celui de l’Anssi, pour obtenir des informations détaillées.
C’est pourquoi le grand public, mais aussi certaines entreprises dépourvues de compétences humaines sur le sujet, peuvent échapper à certaines vulnérabilités importantes qui nécessitent le déploiement urgent de mises à jour.
« Saignement de cœur » : en fait-on trop ?
Pour faire remarquer leurs découvertes dans un flot de CVE toujours plus important (des dizaines par semaine), certains chercheurs décident donc de nommer les vulnérabilités. Par exemple, la CVE-2020-15802 a récupéré le surnom « BLURtooth », tandis que la CVE-2020-1350 a été surnommée SIGRed par l’équipe de CheckPoint qui l’a découverte.
Ces noms permettent d’attirer les projecteurs médiatiques sur la vulnérabilité, et donc sur le travail de l’entreprise qui l’a découverte. Parfois ils donnent des indicateurs intéressants sur le contenu de la faille. Par exemple, CVE-2020-1472, une des vulnérabilités les plus inquiétantes de l’année 2020 a été nommée « Zerologon » par Secura, l’entreprise qui l’a découverte. « Logon » renvoie à Netlogon, le service de Windows où elle se situe, tandis que « zero » fait référence à la technique mise en place pour l’exploiter.
Mais parfois, l’attribution donne un ton dramatique — trop, au goût de certains acteurs de l’écosystème — à la faille : en 2014, des chercheurs de l’entreprise finlandaise Condonomicon ont découvert (en même temps qu’une équipe de Google) une faille dans la bibliothèque de cryptographie OpenSSL. Exploitée par le renseignement américain, elle permettait d’accéder à certaines informations censées être protégées. La faille, critique, a été particulièrement discutée, en partie car Condonomicon lui a attribué non seulement un nom dramatique — Heartbleed (« saignement de cœur » en Français) — mais aussi un logo. D’autres failles, comme Spectre et Meltdown, ont connu un itinéraire médiatique similaire.
Ce passage sous les projecteurs peut permettre un meilleur déploiement des rectificatifs par les personnes concernées, mais introduit aussi une hiérarchie médiatique dans la dangerosité des failles qui ne correspond pas toujours à une réalité technique. Un bug très technique quasi impossible à exploiter peut faire les grands titres grâce à un nom grandiloquent, tandis qu’une faille bien plus généralisée sans surnom peut être oubliée.
Vulnomyn, un bot pour nommer les failles
Pour trouver un équilibre entre les CVE et les noms attribués par les chercheurs, le Cert de Carnegie Mellon a créé Vulnomyn. Ce bot Twitter, repéré par ZDNet, attribue à chaque nouvelle CVE un surnom composé d’un adjectif et d’un nom « aléatoires et neutres ». Leight Metcalf, membre du Cert de l’université, rappelle : « Toutes les failles nommées ne sont pas des vulnérabilités sévères, malgré ce que certains chercheurs veulent vous faire penser. » Il tacle également certains noms trop influencés par « l’impact marketing ».
Vulnonym doit donc créer des surnoms plus visibles et faciles à retenir que le format CVE, tout en évitant le registre dramatique des surnoms donnés par les humains. Les développeurs espèrent qu’ainsi, le nom ne donnera pas de préjugés sur l’éventuelle dangerosité de la faille. En effet, difficile de savoir qui de « Crooked Baka » ou de « Venous Ruff » représente la plus grande menace.
Les créateurs du bot affirment que les surnoms seront modérés, et s’engagent à corriger toute appellation « sensationnaliste, effrayante ou insultante ». A priori, difficile d’imaginer que les surnoms du Vulnonym seront utilisés, mais le bot a le mérite de relancer la discussion sur l’attribution de noms aux failles. Dès la prochaine faille nommée par une équipe de chercheur, la comparaison avec le surnom « neutre et aléatoire » sera intéressante.
Si jamais la question de l’attribution de noms aux vulnérabilités est un jour résolue, les experts pourront ensuite s’atteler à celle des groupes de cybercriminels. Car aujourd’hui, les groupes d’espionnage et de déstabilisations sont aussi baptisés par entreprises qui les découvrent. C’est ainsi que « Fancy Bear » (les « ours raffinés ») ou « Rampant Kitten » (les « chatons hors de contrôle) font partie des cybercriminels les plus surveillés…
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
